bien, eso me servirá, pero quiero saber algo.... como seria mas o menos el funcionamiento de esto que me mostras? seria algo asi como preparar un string?

por que si es asi seria posible insertar sql injections en estos casos?