有效防止SQL注入漏洞

有效防止SQL注入漏洞1.如果动态构造的SQL语句中包含参数，请必须对参数做如下操作a.将'(单引号)替换成''(两个单引号)b.将--(注释符)替换掉c.将参数加入语句时，一定要在前后各加上引号，如:'select * from table where id='''+@id+''''这样的加法2.如果动态构造的SQL语句中包含表参数,请勿必给表加上[](中括号)，如:'select * from ['+@tab+']'这样的做法如果还有漏掉的情况，请朋友们指出示例与解决方法.