为什么使用mysql预处理语句比使用普通转义功能更安全？

我认为这里的人们所缺少的重要一点是，有了支持参数化查询的数据库，就不必担心“转义”。数据库引擎不会将绑定的变量组合到sql语句中，然后再分析整个内容。绑定变量保持独立，并且永远不会解析为通用sql语句。

这就是安全性和速度的来源。数据库引擎知道占位符仅包含数据，因此永远不会将其解析为完整的sql语句。当您一次准备一条语句然后执行多次时，就会提速。典型示例是将多个记录插入到同一表中。在这种情况下，数据库引擎仅需要解析，优化等一次。

现在，数据库抽象库是一个难题。他们有时只是通过以适当的转义将绑定变量插入sql语句中来伪造它。尽管如此，这总比自己动手做更好。

在另一个问题中有一条评论说：

“涉及数据库查询时，请始终尝试使用准备好的参数化查询。mysqli和PDO库支持此操作。这比使用转义函数（例如mysql_real_escape_string）更加安全。”

因此，我想问的是：为什么准备好的参数化查询更安全？