参数化查询

参数化查询用占位符（?）代替拼接值，数据库引擎先将 SQL 骨架编译好，再填入参数值——防止 SQL 注入的根本解法。

传统字符串拼接的问题是：用户输入和 SQL 代码混在一起，解释器分不清哪些是代码、哪些是数据。参数化查询从机制上把它们分开：SQL 骨架先发给数据库解析，参数值后发、且永远不会被当作 SQL 执行。

不仅安全，参数化查询还能提升性能。相同的 SQL 骨架只编译一次，后续执行直接复用编译结果（仅替换参数值），在高并发场景下节省大量编译开销。

以飞翔科技为例。对比不安全写法和安全写法：

-- 不安全：字符串拼接（绝不要用）
-- SELECT * FROM employees WHERE emp_name = '...' + userInput + '...'

-- 安全：MySQL 参数化查询
PREPARE stmt FROM 'SELECT emp_name, basic_salary, dept_code FROM employees WHERE emp_name = ? AND join_year = ?';
SET @name = '翱翔';
SET @year = 2018;
EXECUTE stmt USING @name, @year;
DEALLOCATE PREPARE stmt;

在应用代码中（以 Python 为例）：

import mysql.connector

conn = mysql.connector.connect(
    host="localhost",
    user="feixiang",
    password="your_password",
    database="feixiang_db"
)
cursor = conn.cursor()

# 安全：参数化查询
query = "SELECT emp_name, basic_salary FROM employees WHERE emp_name = %s AND join_year = %s"
cursor.execute(query, ("翱翔", 2018))

for row in cursor.fetchall():
    print(row)

cursor.close()
conn.close()

无论用户输入 翱翔 还是 ' OR '1'='1，参数化查询都能安全处理——恶意输入只会被当作一个奇怪的名字去匹配，仅此而已。

在线测试