在.NET中，如何防止sql注入了？ 最好的方法是什么了

我想听听详细的介绍了 ，还有实现的方法；

1.采取程序过滤危险参数，比如说“，select,update,delete等”

2.采取存储过程来传输参数

3.可以相应的在输入性文本框用正则啊，JS，来限制输入。

现在的注入已经不像以前简单了，很多通过加密的编码注入，但是离不开的还是一些基本符号，比如说AND,;分号。过滤了这个，就安全多了。

www.nogua.com

insert into table(title,info) values(@title.@info)

添加参数，绝对没问题

采用Parameters来传递参数。

注意html要记得考虑js的注入问题。这个和SQL无关。

强制类型转换

因为.net 不熟，所以说不了具体函数什么的

还有个方法就是过滤单引号，字符型的注入过滤了单引号就基本无效了

首先 你需要在客户端尽量的限制非法字符 可以用正则表达式

再次 你需要在sql语句中限制 如果是C#的话 可以再SQL字符串前面加@

最后 尽量使用存储过程而少用SQL语句

这样基本就差不多了 再能被注入就是高手了 那个防不胜防