对于多数开发平台来说，应当使用参数化的语句而不是将用户输入嵌入到语句中。在许多情况下，SQL语句是固定的，每一个参数都是一个标量，而不是一个表。用户输入会被指派给一个参数。下面再给出一个使用Java和JDBC API的例子：

　　PreparedStatement prep = conn.prepareStatement（"SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?"）;

　　prep.setString（1, username）;

　　prep.setString（2, password）;

　　prep.executeQuery（）;

　　笔者用这些例子只是想告诉开发人员，应当确保在查询数据库之前对输入进行净化。要保障用户输入到网站的内容就是你正要查找的数据类型，所以说，如果你正在寻找一个数字，就要努力保障这种输入一定是一个数字而非字符。

　　应对SQL注入式攻击之实施过滤和监视工具

　　在Web应用程序和数据库这个水平上的过滤和监视工具可有助于阻止攻击并检测攻击行为，从而减轻暴露在大规模的SQL注入式攻击中的风险。

　　在应用程序水平上，企业应当通过实施运行时的安全监视来防御SQL注入攻击和生产系统中的漏洞。同样地，Web应用防火墙也有助于企业部署某些基于行为的规则集，可以在发生损害之前阻止攻击。

　　在数据库水平上，数据库活动监视还可以从后台过滤攻击。数据库的监视活动是对付SQL注入的一种很强大的工具。对于目前所知道的注入攻击而言，应当部署好过滤器，以便向数据库管理员发出警告：正在发生不太安全的问题;还要有一些一般的过滤器，用以查找SQL注入攻击中的典型伎俩，如破坏SQL代码的不规则的数字引用等。