过滤特殊字符

例如单引号和分号。例如 “SELECT * FROM tables WHERE param = '” + RequestString+ "‘; " 攻击者将用户名变量(即RequestString)设置为：a’ or ‘t’='t

判断变量类型

如果一个用户提供的字段并非一个强类型，或者没有实施类型强制。例如 “SELECT * FROM tables WHERE id = " + RequestID + "; " 变成 SELECT * FROM DATA WHERE id = 1; DROP TABLE users