方法 bindParam() 和 bindValue() 非常相似。
唯一的區(qū)別就是前者使用一個(gè)PHP變量綁定參數(shù)，而后者使用一個(gè)值。
所以使用bindParam是第二個(gè)參數(shù)只能用變量名，而不能用變量值，而bindValue至可以使用具體值。

另外在存儲(chǔ)過程中，bindParam可以綁定為input/output變量，如下面：

存儲(chǔ)過程執(zhí)行過后的結(jié)果可以直接反應(yīng)到變量上。
對于那些內(nèi)存中的大數(shù)據(jù)塊參數(shù)，處于性能的考慮，應(yīng)優(yōu)先使用前者。
--------------------------------------------------
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
參數(shù)化查詢
參數(shù)化查詢（Parameterized Query 或 Parameterized Statement）是指在設(shè)計(jì)與數(shù)據(jù)庫連結(jié)并訪問數(shù)據(jù)時(shí)，在需要填入數(shù)值或數(shù)據(jù)的地方，使用參數(shù) (Parameter) 來給值，這個(gè)方法目前已被視為最有效可預(yù)防SQL注入攻擊 (SQL Injection) 的攻擊手法的防御方式。有部份的開發(fā)人員可能會(huì)認(rèn)為使用參數(shù)化查詢，會(huì)讓程序更不好維護(hù)，或者在實(shí)現(xiàn)部份功能上會(huì)非常不便[來源請求]，然而，使用參數(shù)化查詢造成的額外開發(fā)成本，通常都遠(yuǎn)低于因?yàn)镾QL注入攻擊漏洞被發(fā)現(xiàn)而遭受攻擊，所造成的重大損失。
除了安全因素，相比起拼接字符串的 SQL 語句，參數(shù)化的查詢往往有性能優(yōu)勢。因?yàn)閰?shù)化的查詢能讓不同的數(shù)據(jù)通過參數(shù)到達(dá)數(shù)據(jù)庫，從而公用同一條 SQL 語句。大多數(shù)數(shù)據(jù)庫會(huì)緩存解釋 SQL 語句產(chǎn)生的字節(jié)碼而省下重復(fù)解析的開銷。如果采取拼接字符串的 SQL 語句，則會(huì)由于操作數(shù)據(jù)是 SQL 語句的一部分而非參數(shù)的一部分，而反復(fù)大量解釋 SQL 語句產(chǎn)生不必要的開銷。
目錄
* 1 原理
* 2 SQL 指令撰寫方法
o 2.1 Microsoft SQL Server
o 2.2 Microsoft Access
o 2.3 MySQL
o 2.4 PostgreSQL/SQLite
* 3 客戶端程序撰寫方法
o 3.1 ADO.NET
o 3.2 PDO
o 3.3 JDBC
o 3.4 Cold Fusion
[編輯] 原理
在使用參數(shù)化查詢的情況下，數(shù)據(jù)庫服務(wù)器不會(huì)將參數(shù)的內(nèi)容視為SQL指令的一部份來處理，而是在數(shù)據(jù)庫完成 SQL 指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有具破壞性的指令，也不會(huì)被數(shù)據(jù)庫所運(yùn)行。
[編輯] SQL 指令撰寫方法
在撰寫 SQL 指令時(shí)，利用參數(shù)來代表需要填入的數(shù)值，例如：
[編輯] Microsoft SQL Server
Microsoft SQL Server 的參數(shù)格式是以 "@" 字符加上參數(shù)名稱而成，SQL Server 亦支持匿名參數(shù) "?"。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)
[編輯] Microsoft Access
Microsoft Access 不支持具名參數(shù)，只支持匿名參數(shù) "?"。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[編輯] MySQL
MySQL 的參數(shù)格式是以 "?" 字符加上參數(shù)名稱而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[編輯] PostgreSQL/SQLite
PostgreSQL 和 SQLite 的參數(shù)格式是以 “:” 加上參數(shù)名而成。當(dāng)然，也支持類似 Access 的匿名參數(shù)。
UPDATE "myTable" SET "c1" = :c1, "c2" = :c2, "c3" = :c3 WHERE "c4" = :c4
[編輯] 客戶端程序撰寫方法
在客戶端代碼中撰寫使用參數(shù)的代碼，例如：
[編輯] ADO.NET
ADO.NET用于ASP.NET之內(nèi)。
SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); // 設(shè)定參數(shù) @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); // 設(shè)定參數(shù) @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3); // 設(shè)定參數(shù) @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4); // 設(shè)定參數(shù) @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[編輯] PDO
PDO用于PHP之內(nèi)。 在使用 PDO 驅(qū)動(dòng)時(shí)，參數(shù)查詢的使用方法一般為：

[編輯] JDBC
JDBC用于Java之內(nèi)。
java.sql.PreparedStatement prep = connection.prepareStatement(
"SELECT * FROM `users` WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
[編輯] Cold Fusion
<cfquery name="Recordset1" datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">
</cfquery>