哪里（在代码中）将准备好的语句的元素放置在许多用户与数据库交互的网站中？

我正在将我的代码从使用转换$mysqli->escape_string为使用准备好的语句，因为人们说这是防止 sql 注入的更好方法。

它只是简单地删除所有$mysqli->escape_strings 并替换我的代码的其他部分，如下所示：

$mysqli->query("update `users` set `email`='$newEmail' where `userid`={$_SESSION['userid']} limit 1");

替换为：

$stmt = $mysqli->prepare("update `users` set `email`=? where `userid`=? limit 1");

$stmt->bind_param('si',$newEmail,$_SESSION['userid']);

$stmt->execute();

$stmt->close();

?

人们说准备好的语句更有效，因为语句模板只准备一次，然后可以与不同的参数一起重复使用。但是在上面的代码替换中，不是每次用户想要更新他们的电子邮件地址时都要完成模板准备吗？我应该在服务器启动时准备所有语句吗？并且不再准备它们？（虽然我不知道该怎么做。）prepare,bind_param和close应该放在我网站代码的什么地方？