Ok, he mirado la orden "sqlsrv_prepare", pero, evita la inyección de código? En el manual de php.net aclaran esto:

"sqlsrv_execute — Executes a statement prepared with sqlsrv_prepare()"

"This example demonstrates how to prepare a statement with sqlsrv_prepare() and re-execute it multiple times (with different parameter values) using sqlsrv_execute()."

Pero no sé si tiene relación con el escape de inyección de código :/