Một điểm quan trọng mà tôi nghĩ mọi người ở đây còn thiếu là với một cơ sở dữ liệu hỗ trợ các truy vấn tham số hóa, không có gì phải lo lắng về 'lối thoát'. Công cụ cơ sở dữ liệu không kết hợp các biến bị ràng buộc vào câu lệnh SQL và sau đó phân tích cú pháp toàn bộ; Các biến liên kết được giữ riêng biệt và không bao giờ được phân tích cú pháp như một câu lệnh SQL chung.
Đó là nơi bắt nguồn của tính bảo mật và tốc độ. Công cụ cơ sở dữ liệu biết trình giữ chỗ chỉ chứa dữ liệu, vì vậy nó không bao giờ được phân tích cú pháp như một câu lệnh SQL đầy đủ. Việc tăng tốc diễn ra khi bạn chuẩn bị một câu lệnh một lần và sau đó thực thi nó nhiều lần; ví dụ chính tắc đang chèn nhiều bản ghi vào cùng một bảng. Trong trường hợp này, công cụ cơ sở dữ liệu chỉ cần phân tích cú pháp, tối ưu hóa, v.v. một lần.
Bây giờ, một gotcha là với các thư viện trừu tượng hóa cơ sở dữ liệu. Đôi khi chúng giả mạo nó bằng cách chỉ chèn các biến bị ràng buộc vào câu lệnh SQL với lối thoát thích hợp. Tuy nhiên, điều đó vẫn tốt hơn là tự mình làm.