机房重构准备工作（2）--sql注入和参数化查询

    最近在搞机房重构的时候观看前辈们的代码发现了一些和之前不一样的东西，很陌生但是有些许的熟悉。

就是类似于这样的代码。

谨慎的我查阅了一些网站，发现这个东西叫做参数化查询，我的天，貌似比之前高大上了一丢丢啊。

然后继续查就找到了所谓的SQL注入。

什么是SQL 注入啊，我的理解就是一些利用系统的漏洞，攻击电脑数据库的服务器的一些敏感操作。

因为之前我们的数据库代码用的是字符串拼接的样子。这样就容易造成SQL注入，

比如说，第一次机房收费系统的时候，在登录的时候就是简单的查询语句，如果在里边加一些SQL

语句的话，就可以不使用账号和密码就能登录了，相信熟悉SQL语句的小伙伴们就知道这其实并不难

所以这就是一小部分的危害，对于一些大的软件，如果使用SQL注入的话就会有很大的损失。

那么怎么预防这个东西嘞，有一种方法就是“参数化查询”，就是前边图片上显示的那个东西，利用参数

化查询可以有效地规避SQL注入的危害。

 参数化查询是访问数据库时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值。

 参数化查询被称作是最有效的防止SQL注入的手段，当然还有其他的比如说限制次数等一些操作。