语句与参数化是另一个高频坑。无论SQLite还是MySQL,都尽量使用预处理语句+参数绑定,别拼接字符串。中文、引号、日期格式、转义都是地雷。SQLite里用sqlite3_prepare_v2/sqlite3_bind_*这一套;MySQL用mysql_stmt_prepare/mysql_stmt_bind_param。易语言封装时,给查询层提供占位符API,比如“执行参数化SQL(‘insert into t(a,b) values(?,?)’,{a,b})”,让上层页面逻辑根本接触不到字符串拼接。顺带一提,MySQL的时区要统一,服务端和客户端设置成同一时区,或者所有时间统一用UTC存储、到界面再本地化。