SQLインジェクションを防ぐために、プログラムのソースコードでSQL文の雛(ひな)型の中に変数の場所を示す記号(プレースホルダと呼ばれる)を置いた後、実際の値を割り当てる仕組み。入力値中の特殊記号も単なる値として渡されるため、エスケープ処理なしで安全にSQL文を発行することが可能となる。データベースシステムやプログラム言語によっては、この機構が用意されているものもありSQLインジェクション対策として有用である。