Hola. Tengo un pequeño proyecto en el cual tengo una clase PHP para conectar a Mysql similar a ADOBD. Para protección contra inyección realiza sus consultas asi.

$sql = $db->Exect("SELECT campo1, campo2 FROM mitabla WHERE id = ? and pass = ? ",array($id, $password));

Lo que hace aquí es: primero revisa o valida la variable $id y $password y luego las reemplaza el signo '?' de acuerdo a su ubicación.

Lo que quiero saber es como reemplazar esos signos con el valor de las variables según su orden.

El Primer '?' con el primer valor array $id, el segundo '?' con el segundo valor del array y asi sucesivamente.

---------------------
Gracias por su apoyo y espero les sirva esta idea para validar entradas a una consulta SQL.