桌面程序处理输入的" ' "

以前在写webform的时候知道要对用户输入的一些字符进行处理，防止注入漏洞，例如把变量加入到sqlparameter里面

现在开始写桌面程序，本以为程序的bug基本上都解决了，然后拿测试用例一试，傻眼了，在要存入数据库的文本框中输入“ ’ ”或者“~!@#$%^&*()_+`1234567890-={}|[]\;':",./<>?|\”，悲剧了，报错

回过头来想一想，如果在一个连接数据库input中拼接sql，那同样会把数据库的一些资料甚至数据库的权限暴露出来，看样子，程序员在写程序的时候还是要多思考，多总结，并能举一反三

后来查了下资料，只要在输入信息的地方对输入的信息做下修改，把＂'＂替换为＂ ‘＂就可以了！！！