问SQL注入和.NET 4

EN

我相信你通过使用the参数来避免这个问题。

ADO.NET中最简单的工具是对变量的所有查询值使用sql参数。这也具有效率优势。即使代码中有显式sql，而且根本不使用存储过程或函数，仍然可以通过使用相同的查询字符串而只更改参数的值来获得这两个优点。

有时(例如，搜索引擎)确实需要动态地构造sql命令文本，而不能使用sql参数。这是不幸的，因为保护自己不受sql注入(各种类型的消毒和关键字黑名单)的其他方法涉及更多，需要您深思熟虑和聪明。尽量避免这种情况！

这是一个"ADO.NET“问题吗？如果是的话，SQLParameters是你的朋友。司各特·顾关于这一主题的文章很古老，但仍然很有用，而且有很好的建议。

-防范-SQL-注入-Attacks.aspx

如果您不使用ADO.NET，那么大多数ORM都会保护您免受攻击。例如，LLBLGen生成参数化查询。与Linq到SQL一样。我猜它们都是这样的，不过看看你对ORM的兴趣吧:)