不过各种语言都会操作SQL,一般控制注入分三个方面,1.做参数合法性,特殊字符,长度校验;2.数据库中严格设定参数类型,没必要用字符串类型的,就少用,不得已使用可以控制字符长度;能用int,bool之类的就用此种类型;3.操作SQL采用参数化(parameter)