SQL注入导致的安全一直是当前的网络难题，如果是因为SQL脚本拼接的原因，可以采用api调用的方式来杜绝漏洞吗？

如何从根本上防止SQL注入呢？

对于SQL注入来说，数据库的SQL解释引擎编译就会产生可被执行的恶意代码，因此只要让数据库系统不编译用户输入的数据即可。

SQL语句预编译（prepare）和查询参数绑定功能是现在数据库系统的基本条件，在SQL语句中放置占位符'?'，然后将带有占位符的SQL语句传给数据库编译，执行的时候才将用户输入的数据作为执行的参数传给用户。这样的操作不仅使得SQL语句在书写的时候不需要拼接，看起来也更直接，而且用户输入的数据也没有机会被送到数据库的SQL解释器被编译执行，不存在越权变成代码。

至于为什么这种参数化的查询方式没有作为默认的使用方式，主要是由于除了兼容老系统以外，直接使用SQL确实方便并且也有确定的使用场合。

上一篇: 网盾教你区分web开发中的加解密类别

下一篇: 使用CDN解决网站打开慢的问题