As consultas parametrizadas fazem a substituição adequada de argumentos antes de executar a consulta SQL. Ele remove completamente a possibilidade de entrada "suja" alterar o significado de sua consulta. Ou seja, se a entrada contém SQL, ela não pode se tornar parte do que é executado porque o SQL nunca é injetado na instrução resultante.