sql 拼凑 防止注入

1  尽量用统一替换,好处很多//创建insert语句private List<string> GetInsertSqlFromListPA_SD(List<PA_SD> list){	List<string> sqlList = new List<string>();	string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product,materdesc,prdsize,qty,subprddesc) 								Values({0},{1},{2},{3},{4},{5},{6},{7},{8}) ";	foreach (PA_SD obj in list)	{		sqlList.Add(string.Format(strSQL,						SqlParamFomat(obj.DNDH),						SqlParamFomat(obj.pono),						obj.itemno,						SqlParamFomat(obj.style),						SqlParamFomat(obj.product),						SqlParamFomat(obj.materdesc),						SqlParamFomat(obj.prdsize),						obj.qty,						SqlParamFomat(obj.subprddesc)			));	}	return sqlList;}private string SPF(string str){	return SqlParamFomat(string str);}//格式化sql语句的参数,在最外面添加分号//例如 exec spLogin @UserID={0}  可以用本函数替换{0}private string SqlParamFomat(string str){	if (null != str)	{		string tmp = str.Replace("'", "''");		return "'" + tmp + "'";	}	else	{		return "null";	}}private string SPFNW(string str){	return SqlParamFomatNoWrap(string str);}//格式化sql语句的参数,没有添加最外面的分号//例如String sql = "exec spLogin @UserID='" + SPFNW(userID) + "'";  private string SqlParamFomatNoWrap(string str){	if (null != str)	{		string tmp = str.Replace("'", "''");		return tmp;	}	else	{		return "";	}}2 如果必须用string+string来拼接sql我们要对每个参数进行处理a 字符串参数必须调用SqlParamFomat()函数格式化b 数字类型的必须检查传入的参数是数字的,才能拼接到sql中c 日期类型,必须传入日期类型的参数,再在代码中转换为日期字符串拼接到sql中d 布尔型,必须传入布尔型参数,再在代码中转换为1或0拼接到sql,或直接拼接中心思想就是,拼接sql前,要保证传入的数据类型跟参数一致, 再处理好字符型的参数因为只有字符型的参数能被注入