摘要： 做好几点可以避免被注入： 1. 尽可能不要再页面中或存储过程中使用拼接的方式来生成 SQL 语句 2. 连接数据库应当使用专用的数据库用户（而不是sa） 3. 尽可能的使用 command 的方式来查询数据库。如果给 command 增加一个参数，那么，无论参数中包含什么字符都不会截断 SQL 语句的，也就不存在注入攻击的可能了。 但是，毕竟使用拼接方式查询数据库的使用率还是比较高的，贴一段代码： 阅读全文