參數化查詢是一種在資料庫操作中預防SQL注入攻擊的重要手段。
參數化查詢要求在SQL語句中需要填入數值或數據的地方使用參數(parameter)來給值。這種做法與直接在SQL語句中拼接用戶輸入的數據不同,參數化查詢將參數內容視為獨立的變數,而不是SQL指令的一部分。當執行SQL語句時,資料庫伺服器會在完成SQL指令的編譯後,才套用這些參數值。因此,即使參數中包含惡意的指令,也不會被資料庫執行。此外,參數化查詢還可以提高查詢效率,並且由於其SQL語句被預編譯,所以它也提高了SQL執行的安全性。
儘管參數化查詢有很多優點,但它也有一些缺點,如增加代碼編寫量和在不同資料庫平台間移植時的複雜性。