1将sql中使用的一些特殊符号，如' -- /* ; %等用Replace()过滤；
2限制文本框输入字符的长度；
3检查用户输入的合法性；客户端与服务器端都要执行，可以使用正则。
4使用带参数的SQL语句形式。

尽量用存储过程