SQL参数化查询可以防止SQL注入，避免SQL注入的方法有两种： 第一种方案： 所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理，不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程， 第二种方案： 参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样： select * from UserInfo where sex=0 在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我 … 阅读全文