写一段防止sql注入的sql查询

要防止SQL注入攻击，可以使用参数化查询或预编译查询来防止恶意SQL代码的注入。下面是一个使用参数化查询的示例：

DECLARE @username nvarchar(50) = ?;
DECLARE @password nvarchar(50) = ?;

SELECT * FROM users
WHERE username = @username
AND password = @password;

在上面的示例中，使用了参数化查询来代替直接将用户输入的值嵌入到SQL查询语句中。在执行查询之前，使用参数来接收用户输入的值，并将其传递给查询。这样做可以防止恶意用户通过在输入中添加SQL代码来执行不受控制的操作。

除了参数化查询，还可以使用预编译查询来防止SQL注入攻击。预编译查询是指将SQL查询语句与参数分开发送到数据库，并由数据库服务器处理参数化查询。这种方式可以避免将SQL查询和参数混合在一起，减少了注入攻击的风险。

无论使用参数化查询还是预编译查询，都可以有效地防止SQL注入攻击，并保护数据库的安全。