вая следующий запрос (в коде НЕ хранимая процедура); как добавить параметры в запрос, а не включать значения условий непосредственно в запрос? Другими словами: как я могу сделать этот вызов базы данных безопасным?

$dbhandle = mssql_connect($myServer, $myUser, $myPass); 
$selected = mssql_select_db($myDB, $dbhandle); 

$query  = "SELECT lastname, firstname, address, phone, email ";
$query .= "  FROM person";
$query .= " WHERE lastname LIKE '" . $lastName . "'";

$result = mssql_query($query);

while($row = mssql_fetch_array($result)) {
... etc.