Как sprintf () защитить от SQL-инъекции?

Я слышал, что sprintf () защищает от SQL-инъекций. Это правда? Если да, то как?

Почему люди рекомендуют писать запросы типа это:

$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = %s AND COL2 = %s',$col1,$col2);