限权限

降低风险

不拼接

用框架自带的查询函数, 如sqlalchemy的text

严检查

严格检查输入, 正则匹配, 过滤关键字等.

防暴露

不打印sql的错误日志

多测试

发布前有sql注入测试软件