楼主请注意这种方法并不好,正确的防SQL注入的方法是用参数化变量比如JDBC这样查询数据库:PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?");prep.setString(1, username);prep.setString(2, password);prep.executeQuery();不论username还是password有任何非字符,都不会造成影响。注意prepareStatement尽量用常量字串,如果用变量字串,或者常量+变量字串,专业的SQL Injection扫描程序一样报警。