$q="insert into usermessage(name,password)values(\"$username\",\"$password\")";
$r=mysqli_query($dbc,$q);

像这种查询语句，整个查询（包括sql语法和具体的值）都会作为一个长字符串发送到mysql，然后mysql分析并且执行它。若使用预处理语句，sql语法首先被发送到mysql解析，确保他在语法上是有效的，然后单独发送特定的值。Mysql使用这些值进行组合查询，然后执行它。以上语句用预处理语句写应该是这样的。

mysql预处理语句总体过程：

1 . 使用 mysqli 中的 prepare()预置语句, 执行成功时返回语句对象，若出错则返回 false

$q="insert into usermessage(name,password)values(?,?)";
$stmt=mysqli_prepare($dbc,$q)；

2 .使用bind_param语句绑定参数。即将在预处理语句中使用占位符号问号（?）表示的各有关参数，绑定到一些 PHP 变量上，一定要注意它们的先后顺序是否正确。这样就可以将需要传递给 SQL 语句的参数传递到 MySQL 服务器端，并等待执行。

$mysqli_stmt_bind_param($stmt,’ss’,$username,$password);

其中，参数的类型有以下四种：
i ：int 整型
d：Double 型
s ：String 型
b ：二进制数据类型（BLOB、二进制字节串） 文件、图片等

3.执行预准备语句 mysqli_stmt_execute( )：执行一个已使用
mysqli_prepare()功能先前准备的查询。当执行任何带参数标记的语句时，将自动以相应的数据取代设定变量值。

mysqli_stmt_execute($stmt)

4,对运行结果做相关处理
如果语句是update,delete,insert，可以通过使用mysqli_stmt_affected_rows()函数确定受影响的行的总数。如果执行的是select,结果集可以通过mysqli_stmt_tetch()系列函数使用。

mysql预处理语句实例：

1.insert语句

 $q='insert into usermessage(name,password,email)values(?,?,?)';
 $stmt=mysqli_prepare($dbc,$q);          
 mysqli_stmt_bind_param($stmt,'sss',$name,$password,$email);
 $name="syjane";
 $password="123456";
 $email="123@qq.com";
 mysqli_stmt_execute($stmt);
 if(mysqli_stmt_affected_rows($stmt)==1){
    echo "insert success";
 }else{
    echo "insert fail";
 }          
mysqli_stmt_close($stmt);           
mysqli_close($dbc);        

2.update语句

$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='update usermessage set password=? where user_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'si',$password,$user_id);
$password="123456sy";
$user_id=456;
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1){
       echo "update success";
 }else{
      echo "update fail";
 }   
mysqli_stmt_close($stmt);       
mysqli_close($dbc);        

3.delete语句

$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='delete from listmessage where list_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$list_id);
$list_id=123;
mysqli_stmt_execute($stmt);
if(mysqli_stmt_affected_rows($stmt)==1){
       echo "delete success";
 }else{
      echo "delete fail";
 }   
mysqli_stmt_close($stmt);       
mysqli_close($dbc);        

以上，insert,update,delete语句在使用的时候，几乎相同。这是因为我们希望知道的就是语句是否执行成功，而mysqli_stmt_affected_rows()函数可以返回受影响的行的总数。具体受影响的行数与where条件有关，一般条件下，不为0即代表执行成功。
4.select语句

$dbc=mysqli_connect('127.0.0.1', 'root','123456','todolist');
$q='select content,list_id from listmessage where user_id=?';
$stmt=mysqli_prepare($dbc,$q);
mysqli_stmt_bind_param($stmt,'i',$user_id);
$user_id=$user_id_from_user;
mysqli_stmt_execute($stmt);
mysqli_stmt_store_result($stmt); 
mysqli_stmt_bind_result($stmt,$content,$list_id); 
if(mysqli_stmt_affected_rows($stmt)==1){
    while(mysqli_stmt_fetch($stmt)){
          $list['content']=$content;
          $list['list_id']=$list_id;
          $list_merge[]=$list;
     }
     $list_json=json_encode($list_merge);
     return $list_json;;
 }else{
      echo "select fail";
 }           

mysqli_stmt_close($stmt);                                                                       
mysql_close($dbc);    

1).store_result()方法：取回所有查询结果，成功时返回 TRUE， 或者在失败时返回 false。
store_result()方法可以把MySQL 服务器上的所有结果一次全部传回到 PHP 程序中。这样做不仅更有效率，而且能减轻服务器的负担。store_result()方法是可选的，除了读取数据不改变任何东西。

2).affected_rows/num_rows 属性：获取查询结果的记录数 ，如果获取 SELECT 语句查找到了多少条记录，可以从 mysqli_stmt 对象中的 affected_rows/num_rows 属性中检索出来。但是，这个属性只有在提前执行过 store_result()方法，将全部查询结果传回到 PHP 程 序中的情况下才可以使用 。

3).绑定结果集 bind_result（）
默认情况下，SELECT 查询结果将留在 MySQL 服务器上，等待 fetch()方法把记录逐条取回 到 PHP 程序中，bind_result()将结果集的参数表绑定到自定义变量上.该绑定语句必须放在执行 mysqli_stmt_execute()之后，mysqli_stmt_fetch()之前。

4).fetch()：从 mysqli_stmt_bind_result()绑定的变量中提取结果，如果成功地读入下一条记录 fetch()方法返回 true，否则返回 false，或者已经读完所有 的结果记录返回 false。