参数化SQL可以不用处理单引号指定参数类型和过滤掉单引号,就可以杜绝99.9%入侵了另外说一句:网上那些被人奉如圣经的过滤 update insert 等关键字的程序是用处不大的 upupdatedate 过滤掉 update还是update还会造成不必要的麻烦