Beide. Voorbereide instructies beschermen u tegen SQL-injecties als en alleen als u ze op de juiste manier gebruikt. Het 'gebruiken' van voorbereide instructies helpt niet als u nog steeds variabelen interpoleert voor bijvoorbeeld tabel-/kolomnamen.
$stmt = "SELECT * FROM $table WHERE $column = ?"; //not good...