SQL Server实现防止SQL注入的有效方案（sqlserver防注入）

SQL注入攻击是透过Web应用程序发送到后台服务器执行的SQL语句，攻击者可能将恶意代码植入用户输入，以获得应用程序的访问权限，可能导致数据库数据泄露等安全隐患。SQL Server中有许多有效的方法可以实现防止SQL注入的效果，下面将介绍一些实践中常用的有效方案.

1、使用参数化查询是防止SQL注入的一个有效方法：使用参数化查询可以有效地防止SQL注入，只要将用户输入保存在变量中，再将该变量传入到SQL语句中，就可以防止SQL注入，以下是SQL Server中使用参数化查询的简单代码：

//定义SQL语句 
string sql = "SELECT * FROM Persons WHERE LastName = @LName"; 

//创建SQLCommand对象
SqlCommand cmd = new SqlCommand(sql, con); 
//为SQL参数赋值
cmd.Parameters.AddWithValue("@LName",txt_LastName.Text); 
//执行查询
SqlDataReader reader = cmd.ExecuteReader(); 

2、执行管理及输入验证。执行页面的脚本可能会引起SQL注入，此时可以使用浏览器拦截方法，使用