1.参数化查询（Prepared Statements）

如何实现：

- 使用预处理语句（如PHP的PDO、Python的sqlite3等库中提供的参数化查询功能），将输入数据与SQL命令分开，确保数据库系统可以安全地解析和执行查询。

示例代码（PHP PDO）：

```php $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); $username = 'malicious'; $password = ''; $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $stmt->execute(); $result = $stmt->fetchAll(PDO::FETCH_ASSOC); ```

2.输入验证

如何实现：

- 对所有用户提交的数据进行严格检查，确保其符合预期的格式和值域。

示例代码（PHP）：

```php function sanitize($input) { return trim(addslashes(htmlspecialchars($input))); } $username = sanitize($_POST['username']); $password = sanitize($_POST['password']); ```

3.使用安全API

如何实现：

- 避免直接在SQL查询中拼接用户输入数据，推荐使用上述的参数化查询方法。

示例代码（Python sqlite3）：

```python import sqlite3 conn = sqlite3.connect('test.db') cursor = conn.cursor() username = 'malicious' password = '' query = "SELECT * FROM users WHERE username = ? AND password = ?" cursor.execute(query, (username, password)) result = cursor.fetchall() ```

4.最小权限原则

如何实现：

- 在数据库层面，为应用程序服务账号设置最小权限。这可以限制如果出现漏洞时的损害范围。

5.错误处理和日志记录

如何实现：

- 不要将详细的SQL查询语句和内部实现泄露给用户。使用异常处理和日志记录来追踪错误信息，并确保这些信息不会暴露敏感数据。

示例代码（PHP）：

```php try { // 执行查询... } catch (PDOException $e) { error_log("Database error: " . $e->getMessage()); } ```

6.使用现代Web框架

如何实现：

- 利用安全的内置功能和最佳实践，大多数现代Web开发框架都提供了防止SQL注入的功能。 通过以上方法，可以显著减少SQL注入攻击的风险。重要的是要持续关注最新的安全动态和技术，并定期更新和维护软件系统以确保安全性