<img src="https://r2cdn.perplexity.ai/pplx-full-logo-primary-dark%402x.png" class="logo" width="120"/>

## SQL注入參數化是什麼？

**SQL注入參數化**（又稱參數化查詢，英文：Parameterized Query）是一種設計資料庫查詢時，將用戶輸入的資料（如帳號、密碼、查詢條件等）「當作參數」傳遞給SQL語句，而不是直接把用戶輸入拼接進SQL字串的技術[^2][^4][^5]。

### 為什麼需要參數化查詢？

SQL注入（SQL Injection）是一種常見的網站攻擊手法，攻擊者會在輸入欄位輸入惡意SQL語法，試圖竄改原本的查詢邏輯、竊取或破壞資料。例如：

```sql
SELECT * FROM users WHERE username = 'AAA' AND password = '12345'
```

如果程式直接將用戶輸入拼接到SQL語句，攻擊者可能輸入 `AAA' OR 1=1 --`，讓SQL變成：

```sql
SELECT * FROM users WHERE username = 'AAA' OR 1=1 --' AND password = '12345'
```

這樣 `OR 1=1` 永遠為真，攻擊者就能繞過驗證[^1][^3][^6]。

### 參數化查詢的運作原理

參數化查詢的核心思想是：

- **SQL語句和用戶輸入分離**。
- 用戶輸入的資料只會被當作「值」來處理，不會被當作SQL語法的一部分解釋。
- 資料庫會先編譯SQL語句，再把參數值帶入，這樣即使參數值中有惡意語法，也不會被執行[^2][^4][^5]。


#### 範例（以Python和MySQL為例）

```python
# 不安全寫法（容易被SQL注入）
sql = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'"
cursor.execute(sql)

# 安全的參數化寫法
sql = "SELECT * FROM users WHERE username=%s AND password=%s"
cursor.execute(sql, (username, password))
```


### 參數化查詢的優點

- **防止SQL注入**：用戶輸入不會被當作SQL語法執行，安全性大幅提升[^2][^4][^5][^6]。
- **效能提升**：資料庫可以重複使用查詢計劃，減少資源消耗[^2][^5]。
- **程式碼更易維護**：查詢語句結構清楚，參數分離，易於閱讀和管理。


### 常見資料庫參數化語法

| 資料庫 | 參數格式 |
| :-- | :-- |
| SQL Server | `@參數名稱` 或 `?` |
| MySQL | `@參數名稱` 或 `%s` |
| PostgreSQL | `:參數名稱` 或 `%s` |
| SQLite | `:參數名稱` 或 `?` |

### 小結

**SQL注入參數化**就是用「參數」而不是直接拼接字串來組合SQL查詢，這是防止SQL注入最有效的方法之一，也是安全開發的基本功[^2][^4][^5][^6]。初學者在寫資料庫程式時，務必養成使用參數化查詢的習慣。

<div style="text-align: center">⁂</div>

[^1]: https://www.tsg.com.tw/blog-detail10-215-0-sql-2.htm

[^2]: https://zh.wikipedia.org/zh-tw/參數化查詢

[^3]: https://www.neway.com.tw/article-detail/SQL-injection/

[^4]: https://vocus.cc/article/64d501affd89780001bda447

[^5]: https://www.cnblogs.com/kdp0213/p/8554032.html

[^6]: https://hackmd.io/@cmrdb/SJlEhFt79

[^7]: https://mrluo.life/article/detail/61

[^8]: https://blog.csdn.net/m0_52233414/article/details/129856128

