1、将sql中使用的一些特殊符号,如' -- /* ; %等用Replace()过滤;2、限制文本框输入字符的长度;3、检查用户输入的合法性;客户端与服务器端都要执行,可以使用正则;4、使用带参数的SQL语句形式; 5、尽量用存储过程