パラメータ化クエリ

パラメータ化クエリとは、ひとことで言えば、SQL文の構造とユーザー入力データを完全に分離することでSQLインジェクションを防ぐ実装手法です。プレースホルダ（?や:nameなど）を含むSQL文を事前にコンパイルし、ユーザー入力はパラメータとしてバインドされるため、入力に「'; DROP TABLE--」などのメタ文字が含まれてもSQL構文として解釈されません。プリペアドステートメントとも呼ばれ、JDBC・PDO・ORMなど主要なデータベースアクセス技術で標準的に提供されています。SQLインジェクション対策の最も確実な方法であり、文字列連結によるSQL構築は禁止すべきアンチパターンです。