如何在sql语句中使用保留字

在sql语句中，有些特殊字符，是sql保留的。比如 ' [ ] 等。我们可以先看看它们的用法。
当需要查询某数据时，加入条件语句，或着当你需要insert记录时，我们用 ' 来将字符类型的数据引起来。比如：
Select*from Customers where City ='London' 当表的名字或列的名字中，含有空格等一些特殊字符时，我们需要用[] 将表名引起来，告诉语法分析器，[]号内的才是一个完整的名称。比如
string sql = "select*from Customers where CustomerID ='" + temp + "'"; 如果，我给temp赋值为 Tom' or 1=1 ---
那么你拼接起来的语句为 select * from Customers where CustomerID = 'Tom' or 1=1 --- '
哈哈，1=1 衡为真，---会把后面的sql语句注释掉。而前面因为有输入的 ' 而使的语句是合法的。那or的条件，会把所有的记录都选出来。这就是sql注入。在做用户登陆时，如果没有处理该问题，那你的系统受危害的可能性会很高的。