lo suyo sería que hicieras un strpos, y calcularas la posición de cada ?, luego podrias hacer un substring hasta la posición del primero, añadir la variable y concatenar el resto de cadena.
una forma más sencilla:
Código PHP:
Ver original$sql="SELECT campo1, campo2 FROM mitabla WHERE id = ? and pass = ? "
haz un:
$cadena= str_replace('?', $id, $cadena,1); //Primer elemento //y un:
$cadena= str_replace('?', $password, $cadena,1); //Segundo elemento
Saludos