Para nada es un lenguaje de programación, simplemente pasas placeholders y ya:
Código PHP:
Ver original$stmt = $mysqli->prepare("INSERT INTO foo VALUES(?, ?, ?)");
$stmt->bind_param('sss', $foo, $bar, $baz);
$foo = 'algo"asdasd';
$bar = "otra cosa con '''342\"asda";
$baz = 14;
$stmt->execute();
y listo no hay ciencia...