防止SQL注入的一些方法

SQL注入是恶意者利用程序中有拼接输入SQL语句来进行攻击的，存诸过程中有个将值参数化能有效的解决防上SQL注入，但有时候不是所有的SQL语句都得写成存诸过程。比如一些简单的SQL语句就没必要了，这时我们也可以利用将值参数化来解决被注入的可能性！如：

string sql = "insert into table(name,sex,address,age) values(@name,@sex,@address,@age);";
        SqlParameter[] parame = new SqlParameter[]
        {
            new SqlParameter("@name",modal.name),
            new SqlParameter("@sgex",modal.sex),
            new SqlParameter("@address",modal.address),
            new SqlParameter("@age",modal.age)
        };

记得在SQL语句后面加上;能防止sql语句被追加的可能性。