用参数化sql语句