سلام شروین جان

حتما این دایکیومنت رو بخون بهمراه مثال هاش

https://www.php.net/manual/en/mysqli-stmt.bind-param.php

این لینک هم بهت کمک میکنه

https://www.w3schools.com/php/php_mysql_prepared_statements.asp

به صورت کلی این موارد نیاز هست تا مقادیر ما چک بشه و این‌ها کمک میکنن که خطر sql injection کمتر بشه

موفق باشید ?