参数化查询（Parameterized Query 或 Parameterized Statement）是指在设计与数据库连结并访问数据时，在需要填入数值或数据的地方，使用 (Parameter) 来给值，这个方法目前已被视为最有效可预防 () 的攻击手法的防御方式。

有部份的开发人员可能会认为使用参数化查询，会让程序更不好维护，或者在实现部份功能上会非常不便，然而，使用参数化查询造成的额外开发成本，通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击，所造成的重大损失。

原理

在使用参数化查询的情况下，不会将参数的内容视为的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。

SQL 指令撰写方法

在撰写 SQL 指令时，利用参数来代表需要填入的数值，例如：

Microsoft SQL Server

的参数格式是以 "@" 字符加上参数名称而成，SQL Server 亦支持匿名参数 "?"。

SELECT*FROM myTable WHERE myID =

INSERTINTO myTable (c1, c2, c3, c4)VALUES(@c1, @c2, @c3, @c4)

Microsoft Access

不支持具名参数，只支持匿名参数 "?"。

UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?

MySQL

的参数格式是以 "?" 字符加上参数名称而成。

UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4

客户端程序撰写方法

PHP

$query=sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",

mysql_real_escape_string($Username), mysql_real_escape_string($Password));

mysql_query($query);

或是

$db=new mysqli("localhost","user","pass","database"); $stmt=$mysqli->prepare("SELECT priv FROM testUsers WHERE username=? AND password=?"); $stmt->bind_param("ss",$user,$pass);

$stmt->execute();

转自：http://zh.wikipedia.org/w/index.php?title=%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2&variant=zh-cn