一些程序员在喜欢采用字符串拼接SQL的方式执行SQL语句。例如 String query =＂SELECT * FROM user WHERE user_name = '＂ + request.getParameter(＂customerName＂) + "' and password = '" + request.getParameter(＂customerName＂) + "'" ; 我本人以前也是喜欢这样做的，我觉得这样处理，在Log上可以拿到能直接在数据库上执行的SQL，不像一些框架，打印出来的SQL中总是带一堆问号（如java中的Hibernate）。 但这种处理方法有一个不好的隐患。产生的主要原因是编程语言中的转义字符和SQL语言中的转义有差异。 上例中，若customerName变量输入"admin' --" 拼接出来的sql语句就成了这样了 select * from user where user_name = 'admin' -- ' and password = 'xxx' 由于-- 在sql语句中代表注释，最后执行的sql就成了 select * from user where user_name = 'admin' 也就是说我不需要输入密码就以管理员身份登录了。 在sql中字符“‘”，“_”，“%”，“--”等一些字符都是有他特殊的含义的，如果采用sql拼接的方案，是需要处理这些转移字符的，否则，轻的造成sql执行出错，重的影响数据安全。 当然最的防范方法也有，就是采用绑定变量的处理方案，这样底层的api会帮我们出来这些头疼的字符。程序员只要关注业务逻辑处理就好了。 令外：oracle10g后加入了一个q'函数，可以过滤oracle的转义字符， select 'it''s an example' from dual; select q'[it's an example]' from dual; 这两句的输出是一样的，不过一样不推荐使用，知道就好了。 如果想了解的更深入的话，可以查查关于sql注入方面的资料。可以帮你写出更健壮的代码。

再多给大家几条详细的Guide Line就好了 :-)

一般的情况下尽量做到前后台一起控制，前端js可以是用正则表达式拦截异常字符，或者限制仅能输入字母和数字，后台采用绑定变量的方式调用数据库接口。

至于是有还有其他更好的解决方案，大家可以贴出来，互相学习。