隨著互聯網時代的到來，網站應用日益普及，但是在網站設計過程中存在很多潛在的安全隱患問題，而SQL注入攻擊是其中的一種高危隱患。為了解決這個問題，有些語言或框架提供了相應的方式來防止SQL注入攻擊，而PHP語言中的prepared語句就是一種非常實用的方法。

prepared語句是PHP中的一種SQL查詢語句，使用該語句可以有效防止SQL注入攻擊。該語句的具體使用方法如下：

$stmt = $mysqli->prepare("SELECT * FROMuserswhereusername=? andpassword=?");
$stmt->bind_param("ss",$username,$password);
$stmt->execute();

在這個例子中，我們使用mysqli對象的prepare方法生成了一個prepared語句。在該語句中，我們使用了占位符"?"代替了具體的參數。然后我們使用bind_param方法將具體的參數與占位符一一對應，完成了預處理。最后我們使用execute方法執行該prepared語句。

雖然prepared語句使用起來比較麻煩，但是它的優點是非常明顯的：預處理。
預處理是把SQL語句分成兩個部分：語句模板和參數。這樣，數據庫就可以把語句模板編譯僅一次，就可以多次傳入不同的參數執行，從而提高了數據庫執行效率。

另外一個優點是安全性。由于prepared語句的參數都是在語句處理的過程中傳入的，而不是在運行時進行拼接的，因此可以避免SQL注入攻擊。

下面我們再來舉一個使用prepared語句的例子：

$stmt = $mysqli->prepare("INSERT INTOusers_info(name,age,gender) VALUES (?,?,?)");
$stmt->bind_param("sis",$name,$age,$gender);
$name = 'Tom';
$age = 18;
$gender = 1;
$stmt -> execute();

在這個例子中，我們使用prepared語句向表中插入一條記錄。在SQL語句中，我們使用了三個占位符來分別表示名字、年齡和性別。然后我們使用bind_param方法將各個參數值與相應的占位符對應，最后使用execute方法執行。

使用prepared語句可以有效地防止SQL注入攻擊，保障網站應用的安全性。如果你的網站應用中存在SQL注入攻擊的隱患，那么就可以考慮采用prepared語句來解決這個問題。