防 sql 注入原理浅析

之前一直知道有数据库有 sql 注入的问题，并知道要解决这个问题是要用到 sql 的参数化来解决，但一直没有真正了解为什么“参数化”就能解决这个问题，究竟是怎么解决的？查阅了几篇文章，现在大概总结下，可能有些地方不太严谨，理解问题就好。

sql 执行的步骤：1 语法检查、2 语句优化、3 编译、4 执行

sql 注入就是利用字符串拼接，来使最终生成的 sql 语句是非正常的语句，即 用户输入的内容也可能作为 sql 语句的一部分（不仅仅是作为参数）。

那么要想做到用户的输入只能作为 sql 语句查询的参数，就要在 sql 执行的第 3 步之后再将用户输入作为参数传递