解决SQL注入问题的关键是严格检查可能来自用户输入的所有数据，并使用最小特权原则进行数据库配置。常用的方案有：

（1）所有查询语句都使用数据库提供的参数化查询接口，并且参数化语句使用参数，而不是将用户输入变量嵌入SQL语句中。几乎所有当前的数据库系统都提供参数化的SQL语句执行接口。使用此接口可以有效地防止SQL注入攻击。

（2）对进入数据库的特殊字符（’”<>&*;等）进行转义处理，或编码转换。

（3）确认每个数据的类型。例如，数字数据必须是数字，并且数据库中的存储字段必须与int类型相对应。

（4）应严格规定数据长度，以防在一定程度上正确执行较长的SQL注入语句。

（5）网站每个数据层的编码是统一的。建议使用UTF-8编码。上下层编码不一致可能会导致某些过滤模型被绕过。

（6）严格限制网站用户数据库的操作权限，并向该用户提供只能满足其工作要求的权限，从而最大程度地减少了注入攻击对数据库的危害。

（7）阻止网站显示SQL错误消息，例如类型错误，字段不匹配等，以防止攻击者使用这些错误消息进行判断。

（8）在网站发布之前，建议使用一些专业的SQL注入检测工具来及时检测和修补这些SQL注入漏洞。