如何防止SQL注入

1. 使用参数化查询：使用参数化查询可以将用户输入的数据转换为参数，而不是将其直接拼接到 SQL 语句中。这样可以防止 SQL 注入攻击。

2. 过滤用户输入：在用户输入数据之前，可以对其进行过滤，去除一些特殊字符，如单引号、双引号、分号等。这样可以防止用户输入恶意代码。

3. 使用ORM框架：ORM（对象关系映射）框架可以将数据库操作转换为对象操作，从而避免了直接操作 SQL 语句的风险。

4. 对用户输入进行验证：在用户输入数据之后，可以对其进行验证，确保其符合预期的格式和类型。如果用户输入的数据不符合要求，则可以提示用户重新输入。

5. 对数据库进行安全配置：在数据库的安全配置方面，可以限制数据库用户的权限，禁止使用一些危险的 SQL 语句，如 DROP TABLE、TRUNCATE TABLE 等。同时，也可以对数据库进行备份和加密，以防止数据泄露。