请简要说明如何防范常见的 SQL 注入攻击，结合网易业务中数据库交互场景。

答题要点

推荐使用分层分析法来回答这个问题。首先分析攻击原理，再阐述防范措施。关键要点如下：1. 原理认知：SQL 注入是攻击者通过构造恶意 SQL 语句来绕过应用程序的验证，获取或修改数据库数据。在网易业务中，大量的用户交互和数据查询场景容易受到此类攻击。2. 参数化查询：使用预编译语句，将用户输入作为参数传递，避免 SQL 语句被拼接篡改。例如在 Java 中使用 PreparedStatement 类。3. 输入验证：对用户输入进行严格的格式和范围验证，过滤非法字符。4. 最小权限原则：数据库账户只赋予执行必要操作的最小权限，降低攻击风险。示例话术：“SQL 注入攻击是利用用户输入构造恶意 SQL 语句。在网易业务里，我们可以通过参数化查询，如使用预编译语句，将用户输入作为参数，防止 SQL 拼接。同时，对用户输入进行严格验证，过滤非法字符。并且遵循最小权限原则，限制数据库账户权限，以此防范 SQL 注入攻击。”