說到SQL injection，當初考慮許久，考慮Web以及Ap程式碼的通用性，忍痛把整個系統架構都改掉，SQL部分，改為SQL Command + Parameters的寫法。

為增加彈性，採用Ap <-> Bo <-> Dao <-> DbObj <-> DB架構。
底層DB存取元件，可根據傳入的DataSet或DataTable（開發工具為VS.Net）自行產生 SQL Command 以及 Parameter，並具備Transaction功能，這部分花費了不少功夫。

而Dao以及Bo由於大部分的Code都很類似但又無法繼承，所以採用偷懶的方法 － 自己撰寫一個程式產生器，Dao/Bo的Code由程式產生器來作產出，需要修改的地方再手動修改。這樣花費的心力不到原本的1/10。

唉，真是走錯行了。