>使用参数化查询(sqlCommand与sqlParameter)并将用户输入放入参数中.>不要从未选中的用户输入构建sql字符串.>不要以为你可以建立一个消毒程序,可以检查用户输入的各种畸形.边缘案例很容易被遗忘.检查数字输入可能足够简单,可以让您安全地进行,但是对于字符串输入,只需使用参数即可.>检查二级漏洞 – 如果这些值包含用户输入,则不要从sql表值中构建SQL查询字符串.>使用存储过程封装数据库操作.
