如何防止SQL注入(還在學習當中）

#region 過濾 Sql 語句字串中的注入指令碼<br /> /// <summary><br /> /// 過濾 Sql 語句字串中的注入指令碼<br /> /// </summary><br /> /// <param name="source">傳入的字串</param><br /> /// <returns>過濾後的字串</returns><br /> public static string SqlFilter(string source)<br /> {<br /> //單引號替換成兩個單引號<br /> source = source.Replace("'", "''");</p><p> //半形封號替換為全形封號，防止多語句執行<br /> source = source.Replace(";", "；");</p><p> //半形括弧替換為全形括弧<br /> source = source.Replace("(", "（");<br /> source = source.Replace(")", "）");</p><p> ///////////////要用Regex替換，防止字母大小寫得情況////////////////////</p><p> //去除執行預存程序的命令關鍵字<br /> source = source.Replace("Exec", "");<br /> source = source.Replace("Execute", "");</p><p> //去除系統預存程序或擴充預存程序關鍵字<br /> source = source.Replace("xp_", "x p_");<br /> source = source.Replace("sp_", "s p_");</p><p> //防止16進位注入<br /> source = source.Replace("0x", "0 x");</p><p> return source;<br /> }<br /> #endregion</p><p>本文來自CSDN部落格，轉載請標明出處：http://blog.csdn.net/wangjiafeng2008/archive/2007/04/24/1576990.aspx