练习：SQL注入——PostgreSQL

在PostgreSQL中，SQL注入是通过构造恶意的输入来操纵查询的一种手段。为了防止SQL注入，应该使用参数化查询或者预编译的SQL语句。

以下是一个使用Python和psycopg2库的示例，演示如何使用参数化查询来防止SQL注入：

import psycopg2
 
# 假设我们有一个用户输入的参数user_input
user_input = "some_input'; DROP TABLE users; --"
 
# 创建数据库连接
conn = psycopg2.connect("dbname=your_db user=your_user password=your_pw host=your_host port=your_port")
 
# 创建一个游标对象
cur = conn.cursor()
 
# 使用参数化查询来防止SQL注入
cur.execute("SELECT * FROM your_table WHERE your_column = %s", (user_input,))
 
# 获取查询结果
rows = cur.fetchall()
 
# 关闭游标和连接
cur.close()
conn.close()
 
# 处理查询结果
for row in rows:
    print(row)

在这个例子中，我们使用了参数化查询的方式来执行SQL语句，这样可以确保用户输入被当作参数处理，而不是SQL命令的一部分，从而防止了SQL注入攻击。