Jika Anda mencoba melakukan apa yang tampaknya Anda coba lakukan... jangan coba lakukan itu.
Bukan itu yang dimaksud dengan pernyataan yang disiapkan (atau setidaknya bukan itu yang seharusnya).
Kode klien Anda tidak boleh mencoba menginterpolasi nilai ke dalam string kueri untuk menghasilkan kueri "selesai" untuk dikirim ke server untuk dieksekusi. Itu adalah resep untuk bencana, belum lagi rasa aman yang salah.
Pernyataan yang disiapkan menyampaikan pernyataan dengan ? placeholder ke server apa adanya, di mana server "mempersiapkan" pernyataan untuk dieksekusi... dan kemudian klien mengirim parameter ke server ("mengikat" parameter) untuk dieksekusi. Dengan melakukan ini, server tidak akan pernah bingung tentang "bagian mana yang merupakan SQL" dan "bagian mana yang merupakan data", membuat injeksi sql menjadi tidak mungkin dan membuat pelolosan dan pembersihan data tidak diperlukan.
Jika Anda tidak berkomunikasi secara langsung dengan C-API maka Anda harus memanggil metode di perpustakaan Anda yang memaparkan fungsi yang sama kepada Anda.
