用简单的英语解释什么是参数化查询？

Question

谁能用简单的英语向我解释什么是参数化查询以及如何在 PHP 中为 MySQL 数据库实现它以避免 SQL 注入？

Answer 1

PHP 手册的准备好的语句和存储过程部分，同时它与 PDO 特别相关，它很好地涵盖了这一点，它说：

它们可以被认为是一种
为 SQL 编译的模板
应用程序想要运行，可以是
使用可变参数进行定制。
准备好的陈述提供了两个主要内容
好处：

• 查询只需要被解析（或者
  准备）一次，但可以执行
  多次使用相同或
  不同的参数。当查询时
  准备好后，数据库将
  分析、编译和优化它的
  执行查询的计划。为了
  此过程可能需要复杂的查询
  足够的时间，它会明显
  如果存在以下情况，则减慢应用程序的速度
  需要多次重复相同的查询
  不同参数的时间。经过
  使用准备好的语句
  应用程序避免重复
  分析/编译/优化循环。这
  意味着准备好的语句使用
  资源更少，因此运行速度更快。

• 准备语句的参数
  不需要被引用；司机
  自动处理这个。如果一个
  应用程序专门使用准备好的
  声明，开发商可以确定
  不会发生SQL注入
  （但是，如果其他部分
  正在建立查询
  未转义的输入，SQL注入是
  还是有可能的）。

如果您需要如何使用它们的具体示例，上面的链接页面还包含代码示例。