一个具体的例子就是SQL注入攻击，它们大多数会使用单引号或双引号。有些编程语言提供了对这些字符的转码机制，这样它们就能用在SQL语句中了，但是只能用来在语句中分隔值。4但是这些技术有两个问题。第一，更高级的注入技术，例如联合使用引号和转义字符，可以绕过这些机制。第二，引入转义字符会增加字符串的长度，如果结果字符串的长度超过数据库限制的话，可能会导致数据截断。

正确使用参数化命令是预防注入攻击最有效的方式。1在这种情况下，开发人员定义命令的结构，并使用占位符来代表命令的变量值。稍后，当应用程序将对应的值关联到命令上时，命令解释器会正确地使用它们而不会涉及到命令的结构。

这种技术最著名的用法是数据库的预处理语句，也被称为参数化查询。4 当应用程序创建预处理语句时，语句发送到了数据库端。应用程序使用占位符来表示查询的可变部分，占位符通常会是问号或标签。随后，每次查询执行时，应用程序都要往对应的可变部分绑定值。不管数据的内容是什么，应用程序会一直使用这个表达式作为一个值而并没有SQL代码。因此，不可能修改查询的结构。

为了确保正确使用数据，很多语言允许类型绑定。但是预处理语句本身并不能修复不安全的语句——开发人员必须正确地使用它们。例如，像传统语句一样使用预处理语句——也就是使用字符串拼接来绑定SQL查询——而不是对查询的可变部分使用占位符会导致类似的漏洞。

输出校验