求助：防SQL注入代码运行的疑惑
有如下简化的正则表达式用于防SQL注入检测：
（我简化出的发生疑惑的代码）

<%

Dim regEx, Match, sValue

Set regEx = New RegExp

regEx.IgnoreCase = True

regEx.Global = True

regEx.MultiLine = True

regEx.Pattern = "'|;|%|=|""|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists|script)[\s\b+]*)"

sValue = "SELECT" '被检测的关键字

If regEx.Test(sValue) Then

    Response.Write "Find !"

else

    Response.Write "Not Find !"

End If

%>

以上代码运行时返回的居然是 "Not Find !"
而如果在关键字前面加上一个空格，变为这样： 

sValue = " SELECT" 

即可检测到，返回结果 "Find !"

不知何故，难道是上面的正则表达式构造有问题？
------解决方案--------------------
用*取代+
[\s\b+()]*(select

不用SQL拼接就可以防注入了，不需要过滤这些字符。 
------解决方案--------------------
你吧 and or use go  什么的通通都不合法了,有很多还是常用字符串呢,你怎么知道是攻击而不是用户的正常输入?用户需要输入含某个关键字的字符串怎么办?
感觉只需替换掉'防止结束字符串就可以了
当然最好的办法是楼上说的不用字符串拼接sql语句,使用数据库提供的参数传递方式
------解决方案--------------------
首先要加强类型控制。
------解决方案--------------------
[\s\b+()]+(select
------解决方案--------------------
 从这里就可以看到select前面必须还有其他字符才可以检测到。
------解决方案--------------------
所谓的通用防注入，都常都是防自己，防不了别人。
其实只要作好两点，就基本上可以防止绝大多数注入了，不用搞这么麻烦。
一是字型串参数过滤掉单引号。
二是数值型参数判断一下类型。
------解决方案--------------------
#region 防止SQL注入
    /// <summary>
    /// 文本格式化方法：防止sql注入错误
    /// </summary>
    /// <param name="strInfo">待格式化文本</param>
    /// <returns>格式化后文本</returns>
    public static string sqlFormat(string strInfo)
    {
        #region 文本格式化方法：防止sql注入错误

        strInfo = strInfo.Replace("'", "");
        strInfo = strInfo.Replace("`", "");
        strInfo = strInfo.Replace("~", "");
        strInfo = strInfo.Replace("+", "");
        strInfo = strInfo.Replace("%", "");
        // strInfo = strInfo.Replace(":", "");
        strInfo = strInfo.Replace("<", "");
        strInfo = strInfo.Replace(">", "");
        //  strInfo = strInfo.Replace("_", "");
        strInfo = strInfo.Replace("[", "");
        strInfo = strInfo.Replace("]", "");
        strInfo = strInfo.Replace("{", "");