It should be clear that to avoid sql Injection,the application should use prepared statements,escape input,or filter application data before interpolating into an sql string.

如果您要作为参数传递,则无需转义值.实际上,您不应该,因为您将在文档中插入文字反斜杠.

当您不能使用查询参数时,需要将字符串插入到sql语句中.例子包括：

>表名和列名,它们的编号为own syntax for delimited identifiers.这些必须是准备时SQL查询的一部分,因此RDBMS可以解析和验证它们.
> sql关键字,应该进行清理,但由于它们没有分隔,因此无法转义.
>其他语法或表达式.
>某些必须在准备时提供字面值的情况,例如： MysqL的全文功能不支持搜索模式的参数.

存储过程不能防止sql注入.您可以在存储过程中准备和执行不安全的动态sql语句.有关这方面的精彩故事,请参阅http://thedailywtf.com/Articles/For-the-Ease-of-Maintenance.aspx.

我在SQL Injection Myths and Fallacies的演讲中介绍了所有这些案例.这对您来说可能是一个有用的资源.

我还在我的书SQL Antipatterns: Avoiding the Pitfalls of Database Programming的一章中介绍了sql注入防御.