在项目开发中，所有用户产生的数据都是不被信任的；作为开发者不应该去相信用户提交的数据，因为用户可能会提交危害数据库安全的恶意数据代码。

为了规避用户提交恶意数据代码的风险，快码编程提供了参数化语句的概念。

参数化语句的含义是提前写好相关的SQL语句，然后使用参数来传递对应的数据值。

例如一段SQL语句：

select * from 某张表 where 账号='123456'

但在快码编程里面并不推荐直接这样做；因为与用户产生的数据交互，这个123456的账号可能是用户输入的任意数据；也就是说用户可能输入的并不是账号，而是恶意的代码；这样就会威胁数据库的安全。

于是在快码编程中就需要使用参数化SQL功能，参数化语句后如下：

select * from 某张表 where 账号= ?

给可能是用户产生的数据的SQL值一个?问号，然后再通过快码提供的参数化语句功能实现参数的处理；具体代码如下：

mysql客户端.查询SQL语句((查询状态)=>{调试输出(查询状态)},"select * from 账号表 where 账号 = ?",["123456"])

知识点：查询和执行SQL语句都有参数化语句的参数，参数化语句参数的类型是数组类;你的SQL语句中有多少个?问号，则数组中就需要多少成员！

采纳500+送小米笔记本电脑