在（代码中）将预准备语句的元素放置在许多用户与数据库交互的网站上的位置？

我正在将我的代码从使用转换为使用预准备语句，因为人们说这是防止sql注入的更好方法。$mysqli->escape_string

它只是简单地删除所有s并替换我的代码的其他部分，如下所示：$mysqli->escape_string

$mysqli->query("update `users` set `email`='$newEmail' where `userid`={$_SESSION['userid']} limit 1");

替换为：

$stmt = $mysqli->prepare("update `users` set `email`=? where `userid`=? limit 1");

$stmt->bind_param('si',$newEmail,$_SESSION['userid']);

$stmt->execute();

$stmt->close();

?

人们说预准备的语句更有效，因为语句模板只准备一次，然后可以使用不同的参数重新使用。但是在上面的代码替换中，每次任何用户想要更新其电子邮件地址时，都不会进行模板准备吗？我应该在服务器启动时准备所有语句吗？不要再让他们做好准备了吗？（虽然我不知道该怎么做。应该在我网站的代码中将 放置在哪里？preparebind_paramclose