在Ballerina中进行SQL查询时，参数化查询是一种比直接传入值更安全且更可读的方法。在进行参数化查询时，可以使用问号(?)或命名占位符的方式来代替具体的值。这样可以很好地防止SQL注入攻击，同时也使得代码更加易于理解和维护。

以下是一个示例：

import ballerina/io;
import ballerina/sql;
import ballerina/config;

public function main() returns error? {
    string name = "Alice";
    string today = "2021-07-20";

    // 创建数据源
    sql:ClientConfiguration config = {
        final string url = check config:getAsString("DB_URL");
        final string user = check config:getAsString("DB_USER");
        final string password = check config:getAsString("DB_PASSWORD");
        poolOptions: {maxSize: 5}
    };
    sql:Client studentDbClient = check new(config);

    //执行参数化查询
    var queryParams = {"name": name, "today": today};
    string sqlQuery = "SELECT * FROM students WHERE name=? AND date=?;";
    var result = studentDbClient->select("Student", sqlQuery, queryParams, ());
    match result {
        table t => {
            _ = io:println("Query result: " + t.toString());
        }
        sql:ClientError e => {
            _ = io:println("Error occurred: " + e.message);
        }
    }
}

在上述示例中，我们首先定义了两个参数name和today，然后定义了一个queryParams变量，它包含了这两个参数的具体值。我们还定义了一个SQL查询，其中使用了两个问号来代替参数。最后，我们使用了select()方法来执行查询，传入了SQL查询、queryParams和一个空的数组作为参数。

在执行查询时，Ballerina会将参数化查询中的问号（或者命名占位符）替换成参数的值，并且在传递给数据库之前对这些值进行了严格的类型检查和转换。这样可以保证我们的代码更加安全，同时也更容易阅读和维护。