Parametrisierte Queries (Prepared Statements) sind Datenbankabfragen, bei denen die SQL-Struktur und die Benutzereingaben strikt voneinander getrennt werden. Die Datenbank interpretiert die Parameter als reine Daten, niemals als ausführbaren SQL-Code. Das ist die wirksamste Gegenmaßnahme gegen SQL-Injection, einen der häufigsten und gefährlichsten Angriffsvektoren auf Webanwendungen. Jede moderne Programmiersprache und jedes Datenbank-Framework unterstützt parametrisierte Queries. In Deinen Entwicklungsrichtlinien sollte die Verwendung parametrisierter Queries als verbindlicher Standard festgeschrieben sein. String-Konkatenation in SQL-Abfragen mit Benutzereingaben sollte in Code-Reviews als kritischer Befund behandelt werden.