摘要： 不知道全部使用参数是否能防止“大部分”SQL注入...所以用输入的时候先做类型判断，如果是string的话将'|and|exec|insert|select|delete|update|count|等危险字符替换掉，输出的时候在替换过来。不晓得可还有不妥的地方，望高手指点 阅读全文