针对当前Web系统数据库在设计时存在表名与列名命名简单、易被猜出，数据访问操作使用用户输入内容拼接构建SQL查询语句存在的安全隐患问题，提出一种对数据库中数据表、字段统一命名，用户输入内容参数化，数据访问操作封装化的策略。实践结果表明：应用这一策略能有效防止SQL注入攻击，规范了数据库访问操作，提升了代码的重用率。

• 单位
  安徽广播电视大学