ASP.NET过滤类SqlFilter，防止SQL注入

我理解的sql注入就是一些人可以通过恶意的参数输入，让后台执行这段SQL，然后达到获取数据或者破坏数据库的目的！最好的办法就是不写拼接SQL，改用参数化SQL，推荐新项目使用。这里不做介绍，感兴趣的朋友可以自行搜索一下，本文介绍的方法适合老项目，就是没有使用参数化SQL开发的程序。将SQL一些危险的关键字，还有注释百分号以及分号这些根本在我们正常写代码的时候根本不会出现的字符都过滤掉，这样能最大限度的保证SQL执行是安全的，代码如下：