Параметризираната заявка по същество е заявка, която абстрахира целия вход. Това има няколко добри странични ефекта, като прави всички входни данни безвредни (т.е. не са възможни вредни инжекции) и го прави по-бърз, когато се използва многократно, тъй като е предварително анализиран и компилиран, така че двигателят знае как да приложи дадения вход. Пример в чист mysql е:
PREPARE qry FROM "INSERT INTO tbl VALUES (?)";
Изявлението вече е компилирано и кеширано и може да се изпълнява многократно, без да е необходимо да го компилирате и интерпретирате:
SET @var = "some input";
EXECUTE qry USING @var;
SET @var = "some other input";
EXECUTE qry USING @var;
Когато се използва в PHP, обикновено е така (съкратено):
$stmt = prepare('INSERT INTO tbl VALUES(?)');
execute($stmt, array("some input"));
execute($stmt, array("some other input"));
execute($stmt, array("some more input"));
