如何防止SQL注入

用传参的方式    不要拼接字符串  一般不会出现sql注入的
类似于这样的   一般不会出现注入的
"select stuNum from userId where userName=@userName", new SqlParameter("@userName", strName)
这里面的userName就是一参数的形式传递的

如果问题得到解决，请修改为已解决

1.查看和修改等的权限分离2.过滤所有用户输入 3.把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令 4.用存储过程来执行所有的查询 5.完善用户输入的的长度和类型等验证 6.检查用户输入的合法性 7.将用户登录名称、密码等数据加密保存