sql注入要过滤的字符有:
1.--,#,//
2.(,)括号
3.||,+, (空格)连接符
4.' 单引号
5.|(竖线符号)
6.& (& 符号)
7.;(分号)
8.$(美元符号)
9.%(百分比符号)
10.@(at 符号)
11.'(单引号)
12."(引号)
13.\'(反斜杠转义单引号)
14.\"(反斜杠转义引号)
15.<>(尖括号)
16.CR(回车符,ASCII 0x0d)
17.LF(换行,ASCII 0x0a)
18.,(逗号)
19.\(反斜杠)
20.and
21.or
22.select
23.update
24.delete
25.drop
26.declare
27.insert
28.xp_shell