Важен момент, който мисля, че хората тук пропускат, е, че с база данни, която поддържа параметризирани заявки, няма "бягство", за което да се притеснявате. Машината на базата данни не комбинира свързаните променливи в SQL израза и след това анализира цялото нещо; Свързаните променливи се съхраняват отделно и никога не се анализират като общ SQL израз.
Оттам идват сигурността и бързината. Машината на базата данни знае, че заместителят съдържа само данни, така че никога не се анализира като пълен SQL израз. Ускоряването идва, когато подготвите изявление веднъж и след това го изпълните много пъти; каноничният пример е вмъкване на множество записи в една и съща таблица. В този случай машината на базата данни трябва да анализира, оптимизира и т.н. само веднъж.
Сега един проблем е с библиотеките за абстракция на база данни. Понякога го фалшифицират, като просто вмъкват свързаните променливи в SQL израза с правилното избягване. Все пак това е по-добре, отколкото да го правите сами.
