SQL注入-参数化查询

SQL注入：整个SQL语句是由字符串拼接起来的；

 参数化查询：把输入参数作为一个值执行，不会当作SQL语句执行，需要数据库支持（当前主流数据库都支持）；