所谓“SQL注入”就是通过把SQL命令插入到Web表单接交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。如果开发人员接受来自最终用户的输入，把这个输入拼接到查询中，然后编译和执行这个查询，就会存在“SQL注入”这样的安全漏洞。如果存在这样的安全漏洞，最终用户就有可能修改SQL语句，做一些应用开发人员本意之外的事情。这就像是你打开终端，登录一个SQL Plus会话并作为SYSDBA连接，然后等着有人来键入某个命令，然后编译并执行这个命令。这种漏洞的后果将是灾难性的。

Oracle数据防止“SQL注入”攻击的方法是使用绑定变量。