这个简单的字符串转义能够防止所有的SQL注入吗？

攻击的一种方法是“加载”攻击。

首先，您将用户名称、银行转账信息或任何其他内容注入其中

transfer 0.01
to: 02020.020202.200202
name: johnny tables';drop table foobar --

将被转义为

johnny tables\';drop table foobar  --

目前为止一切顺利，保护措施已生效。我们的攻击失败了，现在我们要尝试加载攻击。

现在我们将创建一个预定的付款订单。

这假设存在一个常见错误，即一旦插入数据库，该值就是“安全的”，因为它已经被检查过一次。

转账 0.01元
到：02020.020202.200202
名称：johnny tables';drop table foobar--
计划时间：从现在开始1天后

将订单存储在数据库中。

'johnny tables\';drop table foobar--'

将被存储为

约翰尼表格的；删除表格foobar--

现在午夜时分，调度程序启动并开始迭代预定的付款

select name from scheduled where time > x and < y

所以银行代码开始紧缩。

String name = result['name'];
String acct = result['acct'];
String amt = result['amt'];
string query = "insert into payment_process (name,acct,amt) values('"+name+"','"+acct+"','"+amt+"');

并且，你的表格就被删除了。*

如果你采用手动方式，你必须确保所有变量的每个实例都被转义，所有Unicode字符都被考虑到，并且考虑到数据库引擎的所有特殊性。

此外，使用预处理语句可以显著提高速度，因为你不需要重建查询。你只需要构建一次，将它们存储在缓存中，然后仅交换参数。
特别是在迭代大型列表时，它们是非常有用的。

根本问题在于他可能不理解预处理语句，不知道它们如何工作。触发不安全因素会使人变得攻击性和保护性，甚至狂热，只是为了防止承认自己不知道它们如何工作。
试着与他谈论这个问题，如果他不愿意听理性的解释，就去找他的经理解释这个问题，告诉他如果网站/应用程序被黑客攻击，责任将落在你的同事和经理头上，并告诉他风险是巨大的。指出最近发生的一些盗窃大量资金的黑客事件。

* 实际查询、连接、联合等可能不起作用，这只是一个非常简化的例子