Como faço para criar uma consulta SQL parametrizada? Por que eu deveria?

Ouvi dizer que "todos" estão usando consultas SQL parametrizadas para se proteger contra ataques de injeção de SQL, sem ter que validar cada entrada do usuário. Como você faz isso? Você obtém isso automaticamente ao usar procedimentos armazenados? Então, meu entendimento é não...