摘要： 用户输入如果没有任何限制的话，则必须对特殊字符进行变换。如果对单引号不进行变换，则会发生数据库错误，甚至可能导致系统崩溃。不过回避方法却非常简单，只要将单引号[']转换成两个单引号['']就可以了。例：SELECT * FROM TBL WHERE COL = 'ABC''DEF';模糊查询的语句虽然不会发生SQL错误，但是不进行回避的话，则无法得到要检索的值。回避方法较单引号复杂。需要使用转义符... 阅读全文