使用预编译语句是预防SQL注入的最佳方式