PHP参数化查询使用mysql_query函数和安全性？

请原谅我的无知,我已经写了超过12年的C#,我对.NET框架和OO编程感到很满意,而且我在企业应用程序方面有很好的背景,但这是我的第一次回合PHP.

题

好吧,所以我试图弄清楚如何使用mysql_query函数发出一个准备,我不能把两个和两个放在一起.现在我这样连接：

mysql_connect('xxx.x.x.x:xxxx','x','x');
mysql_select_db('x');

这是成功的.

现在,我想插入一些数据,所以我正在查看mysql_query函数,只是无法弄清楚如何发送参数化查询以防止SQL注入.我的代码目前看起来像这样：

mysql_query("INSERT INTO users (email,password,...)
    VALUES (:email,:password,:...)

但是如何将值数组传递给它呢？

附加问题

如果我在通过用户输入收到的每个值上使用mysql_real_escape_string,我是否需要担心发出参数化查询？