百试不爽,值得借鉴。
/**
* 过滤参数,防止sql注入
* */
public static String filterContent(String content){
String flt ="'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,|where";
String filter[] = flt.split("\\|");
for(int i=0; i<filter.length;i++){
content = content.replace(filter[i], "");
}
return content;
}