prepared statement的SQL injection问题

预处理语句（prepared statement）是一种在履行 SQL 语句之前预编译的机制，可以有效避免 SQL 注入问题。
SQL 注入是一种攻击技术，攻击者通过在用户输入的数据中插入歹意的 SQL 代码，从而破坏数据库的完全性和安全性。SQL 注入攻击可能致使数据泄漏、数据破坏、系统瘫痪等安全问题。
使用预处理语句可以有效地避免 SQL 注入攻击，由于预处理语句将 SQL 代码和用户输入数据分开处理，不会将用户输入的数据直接拼接到 SQL 语句中，而是使用参数化查询。参数化查询是通过将用户输入的数据作为参数传递给 SQL 语句，而不是将数据直接拼接进 SQL 语句中，从而避免了 SQL 注入攻击。
在预处理语句中，将 SQL 语句和参数分开处理有助于数据库引擎辨认参数的数据类型，并对输入的参数进行适当的转义和验证。这可以避免歹意的 SQL 代码被履行。预处理语句通常使用占位符（如问号 ?）来代替参数，然后在履行时将参数传递给占位符。
使用预处理语句可以有效地避免 SQL 注入问题，提高数据库的安全性和可靠性。但是，预处理语句其实不能解决所有的安全问题，开发人员仍需注意其他安全措施，如输入验证、权限控制等。