Dada a seguinte consulta (no código, NÃO é um procedimento armazenado); como posso adicionar parâmetros à consulta em vez de incluir os valores da condição diretamente na consulta? Em outras palavras: como posso fazer essa chamada de banco de dados segura?

$dbhandle = mssql_connect($myServer, $myUser, $myPass); 
$selected = mssql_select_db($myDB, $dbhandle); 

$query  = "SELECT lastname, firstname, address, phone, email ";
$query .= "  FROM person";
$query .= " WHERE lastname LIKE '" . $lastName . "'";

$result = mssql_query($query);

while($row = mssql_fetch_array($result)) {
... etc.