为什么参数化查询可以防止SQL注入?（转）