一日在注册一个应用系统上注册一个 candy 的用户名，结果失败了，经查系统为了防 SQL 注入，将 select、update、and 等词列入了黑名单，而 candy 中恰好有 and 字母。

网上利用此方法来防 SQL 注入的情况还真不少，其实这是错误的做法，SQL 注入的基本原理是改变 SQL 语句的结构，只要我们确保参数不会保证 SQL 语句结构被改变，只是字段值变化，就不会引发注入。

在 读《SQL注入天书之ASP注入漏洞全接触》感 一文中已经详细解释了注释的正确解决办法，值得一读。