C和Oracle的應用已經廣泛應用于各個領域，但是同時也存在一個共同問題，那就是注入攻擊。為此，我們需要尋找一種能夠有效預防SQL注入攻擊的解決方案，本文將介紹C和Oracle如何防注入。

首先，我們需要了解什么是SQL注入攻擊。SQL注入攻擊是通過在查詢語句中嵌入惡意代碼來獲取或篡改數據庫中的數據。例如：

char sql[255] = "SELECT * FROM user WHERE name = '";
strcat(sql, user_name);
strcat(sql, "' AND password = '");
strcat(sql, password);
strcat(sql, "'");

在以上代碼中，攻擊者可以通過在用戶名或密碼輸入框輸入以下語句來注入攻擊：

' OR '1'='1

這會將SQL語句變成：

SELECT * FROM user WHERE name = '' OR '1'='1' AND password = ''

由于'1'='1'總是成立，攻擊者可以成功繞過驗證。為了防止SQL注入攻擊，我們需要加強輸入驗證，例如：

char sql[255] = "SELECT * FROM user WHERE name = '";
strncat(sql, user_name, 50);
strncat(sql, "' AND password = '", 20);
strncat(sql, password, 50);
strncat(sql, "'", 5);

在以上代碼中，我們使用了strncat函數來限制用戶輸入的長度，這樣用戶就不能夠在輸入框中輸入過多的字符來影響SQL語句了。此外，我們還可以使用Oracle的預編譯語句防注入，例如：

char* user_name = "test_name";
char* password = "test_password";
char sql[255] = "SELECT * FROM user WHERE name = :usrnm AND password = :pwd";
OCIBind* bind1 = NULL;
OCIBind* bind2 = NULL;
OCIStmt* statement = NULL;
OCIEnv* envhp = NULL;
OCISvcCtx* svchp = NULL;
OCIServer* srvhp = NULL;
if (OCIEnvCreate(&envhp, OCI_OBJECT, NULL, NULL, "client", OCI_DEFAULT) == OCI_SUCCESS) {
if (OCIHandleAlloc(envhp, (void**)&svchp, OCI_HTYPE_SVCCTX, 0, NULL) == OCI_SUCCESS) {
if (OCIHandleAlloc(envhp, (void**)&srvhp, OCI_HTYPE_SERVER, 0, NULL) == OCI_SUCCESS) {
if (OCIServerAttach(srvhp, NULL, 0, OCI_DEFAULT) == OCI_SUCCESS) {
if (OCIHandleAlloc(envhp, (void**)&statement, OCI_HTYPE_STMT, 0, NULL) == OCI_SUCCESS) {
OCIStmtPrepare(statement, envhp, (text*)sql, strlen(sql), OCI_NTV_SYNTAX, OCI_DEFAULT);
OCIBindByName(statement, &bind1, envhp, (text*)":usrnm", strlen(":usrnm"), (void*)user_name, strlen(user_name), SQLT_STR, NULL, NULL, NULL, 0, NULL, OCI_DEFAULT);
OCIBindByName(statement, &bind2, envhp, (text*)":pwd", strlen(":pwd"), (void*)password, strlen(password), SQLT_STR, NULL, NULL, NULL, 0, NULL, OCI_DEFAULT);
...
}
}
}
}
}

在以上代碼中，我們使用了Oracle提供的OCIBindByName函數來綁定輸入參數，并使用OCIStmtPrepare函數來預編譯SQL語句。這樣，攻擊者就無法通過輸入惡意代碼來進行注入攻擊了。

總之，在C和Oracle應用中，防止SQL注入攻擊是非常重要的，使用上述的方法可以有效地預防SQL注入攻擊。