Oba. Připravené příkazy vás ochrání před injekcemi SQL pouze tehdy, pokud je používáte správným způsobem. Pouhé „používání“ připravených příkazů nepomůže, pokud například stále interpolujete proměnné pro názvy tabulek/sloupců.
$stmt = "SELECT * FROM $table WHERE $column = ?"; //not good...