Ambas cosas. Las declaraciones preparadas lo protegerán contra las inyecciones de SQL si, y solo si, las usa de manera correcta. Solo 'usar' declaraciones preparadas no ayudará si todavía está interpolando variables para nombres de tablas/columnas, por ejemplo.
$stmt = "SELECT * FROM $table WHERE $column = ?"; //not good...
Trabajar con lenguaje de consulta estructurado (SQL) con Microsoft Access 2010, 2013, 2016 y 2019
4 formas de proteger la información confidencial de sus clientes
Parte 1:Clasificación de imágenes con MariaDB Server y TensorFlow:descripción general
¿Cómo exportar el resultado de la consulta a csv en Oracle SQL Developer?