.Net中防止SQL注入式攻击有哪些方式？分别是怎样实现的？

注入攻击就是利用sql语句特点使得条件恒成立，若要避免SQL注入漏洞攻击，就应该使用参数化查询。  如：
string sql = string.Format("SELECT COUNT(*) FROM hr_LoginUser  " + "where LoginID=@id and pwd=@pwd and Role=@role");
              
                SqlCommand command = new SqlCommand(sql, DBHelper.conn);  
                //操作数据库
          command.Parameters.Add("@id", SqlDbType.NVarChar, 20).Value = txtLogin.Text;
                command.Parameters.Add("@pwd", SqlDbType.NVarChar, 20).Value = txtPassword.Text;
                command.Parameters.Add("@role", SqlDbType.Int).Value = 0;

拼字符串，使等式成立。解决办法就是参数化查询。

参数化查询！
在数据库中写存储过程更好！
可以减少网络流量！提高网站效率！而且代码封装性好！

其实还有一种情况，这种情况在实际的web开发中必须考虑到的，但又不仅限于数据库注入，就是用户发布信息的时候，所输入的内容，比如文章等，这样我们就不能只靠参数化查询来防止注入，例如对方插入了一段脚本代码，那是不是帖子里面就会调用这个脚本了呢，所以我们必须防范，对用不输入的数据进行判断，过滤，替换

但还有情况就是用户直接对你的数据处理页面发请求，

有一种极端的办法是在，web的Global.asax文件中Application_BeginRequest方法体内，用正则过滤这些特殊标签，把它们全部转义一遍，

1、使用sqlserver的存储过程。
2、使用string.Replace（），方法替换掉敏感字符。