Для защиты от SQL-инъекций на PostgreSQL рекомендуется использовать подготовленные выражения (prepared statements) с параметризацией. Это позволяет предотвратить подстановку вредоносного кода в SQL-запросы, так как параметры передаются в запрос отдельно от самого текста запроса.

Пример использования подготовленных выражений в Python с использованием библиотеки psycopg2:

import psycopg2

# Подключение к базе данных
conn = psycopg2.connect(database="my_database", user="my_username", password="my_password")
cursor = conn.cursor()

# Подготовка SQL-запроса с параметрами
query = "SELECT * FROM users WHERE username = %s AND password = %s;"
values = ("user1", "pass1")

# Выполнение запроса с параметрами
cursor.execute(query, values)

# Получение результатов
results = cursor.fetchall()

# Закрытие соединения
cursor.close()
conn.close()

В этом примере «cursor.execute» принимает два аргумента: строку запроса и кортеж значений параметров. Параметры передаются в запросе через "%s", и они будут заменены на соответствующие значения из кортежа «values». Это предотвращает возможность SQL-инъекции, так как значения передаются в запрос безопасно, без возможности внедрения вредоносного кода.

Также важно убедиться, что все входные данные, которые используются для построения SQL-запросов, обрабатываются должным образом. Например, если данные приходят от пользователей, их следует очистить от специальных символов, таких как кавычки, пробелы и т.д., чтобы избежать проблем с форматированием запроса.