不知道全部使用参数是否能防止“大部分”SQL注入...所以用输入的时候先做类型判断,如果是string的话将'|and|exec|insert|select|delete|update|count|等危险字符替换掉,输出的时候在替换过来。不晓得可还有不妥的地方,望高手指点
