如何处理非预准备语句占位符

非预准备语句占位符（Non-prepared statement placeholders）通常指的是在SQL查询中直接使用字符串拼接来构建SQL语句，而不是使用预处理语句（prepared statements）。这种方式存在SQL注入的风险，因为用户输入的数据可能会被解释为SQL代码的一部分，从而导致安全问题。

基础概念

预处理语句是一种在执行前将SQL语句发送给数据库进行编译的技术。它们使用占位符（如?或命名占位符）来代替实际的参数值，这些参数值在执行时传递给数据库。这种方式可以有效防止SQL注入攻击。

类型

位置占位符：如?，按顺序传递参数。
命名占位符：如:name，通过名称传递参数。

应用场景

Web应用程序：处理用户输入的数据时。
数据库操作库：大多数现代数据库操作库都支持预处理语句。

遇到的问题及解决方法

问题：SQL注入风险

原因：直接拼接用户输入的数据到SQL语句中。

解决方法：使用预处理语句。

示例代码（Python + SQLite）

import sqlite3

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 创建表
cursor.execute('''CREATE TABLE IF NOT EXISTS users (
                    id INTEGER PRIMARY KEY,
                    name TEXT NOT NULL,
                    email TEXT NOT NULL)''')

# 插入数据（不安全的做法）
unsafe_name = "Alice'; DROP TABLE users; --"
unsafe_query = f"INSERT INTO users (name, email) VALUES ('{unsafe_name}', 'alice@example.com')"
# cursor.execute(unsafe_query)  # 这会导致SQL注入

# 安全的做法：使用预处理语句
safe_name = "Alice"
safe_email = "alice@example.com"
safe_query = "INSERT INTO users (name, email) VALUES (?, ?)"
cursor.execute(safe_query, (safe_name, safe_email))

# 提交事务
conn.commit()

# 关闭连接
conn.close()