Ideen med forberedte udsagn er, at du ikke sammenkæder variable, i stedet binder du parametrene. Forskellen er, at variablen aldrig bliver indsat i SQL'en, snarere håndterer MySQL-motoren variablen separat, hvilket ikke giver mulighed for SQL-injektion. Dette har også den ekstra bonus, at der ikke kræves escape eller forbehandling af variablen.
$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));