在ASP.NET开发中，SQL注入是一个严重的安全隐患。攻击者可以通过构造恶意的SQL语句，绕过应用程序的安全机制，从而获取、修改或删除数据库中的敏感信息。为了保障应用程序的安全性，我们需要采用多种方式来防止SQL注入。本文将详细介绍在ASP.NET中运用多种方式防止SQL注入的代码范例。

一、使用参数化查询

参数化查询是防止SQL注入最常用且最有效的方法之一。它通过将用户输入作为参数传递给SQL语句，而不是直接将用户输入拼接到SQL语句中，从而避免了恶意SQL代码的注入。以下是一个使用参数化查询的ASP.NET代码范例：

using System;
using System.Data.SqlClient;

namespace SqlInjectionPrevention
{
    class Program
    {
        static void Main()
        {
            string connectionString = "Data Source=YOUR_SERVER;Initial Catalog=YOUR_DATABASE;User ID=YOUR_USER;Password=YOUR_PASSWORD";
            string username = "testuser";
            string password = "testpassword";

            using (SqlConnection connection = new SqlConnection(connectionString))
            {
                string query = "SELECT * FROM Users WHERE Username = @Username AND Password = @Password";
                SqlCommand command = new SqlCommand(query, connection);
                command.Parameters.AddWithValue("@Username", username);
                command.Parameters.AddWithValue("@Password", password);

                try
                {
                    connection.Open();
                    SqlDataReader reader = command.ExecuteReader();
                    if (reader.HasRows)
                    {
                        Console.WriteLine("登录成功！");
                    }
                    else
                    {
                        Console.WriteLine("用户名或密码错误！");
                    }
                    reader.Close();
                }
                catch (Exception ex)
                {
                    Console.WriteLine("发生错误：" + ex.Message);
                }
            }
        }
    }
}

在上述代码中，我们使用了"SqlCommand"对象的"Parameters"集合来添加参数。"@Username"和"@Password"是参数占位符，实际的用户输入通过"AddWithValue"方法传递给参数。这样，即使攻击者输入恶意的SQL代码，也不会影响SQL语句的正常执行。

二、使用存储过程

存储过程是一组预编译的SQL语句，存储在数据库中。使用存储过程可以有效地防止SQL注入，因为存储过程的参数是经过严格验证的。以下是一个使用存储过程的ASP.NET代码范例：

using System;
using System.Data.SqlClient;

namespace SqlInjectionPrevention
{
    class Program
    {
        static void Main()
        {
            string connectionString = "Data Source=YOUR_SERVER;Initial Catalog=YOUR_DATABASE;User ID=YOUR_USER;Password=YOUR_PASSWORD";
            string username = "testuser";
            string password = "testpassword";

            using (SqlConnection connection = new SqlConnection(connectionString))
            {
                SqlCommand command = new SqlCommand("sp_Login", connection);
                command.CommandType = System.Data.CommandType.StoredProcedure;

                command.Parameters.AddWithValue("@Username", username);
                command.Parameters.AddWithValue("@Password", password);

                try
                {
                    connection.Open();
                    SqlDataReader reader = command.ExecuteReader();
                    if (reader.HasRows)
                    {
                        Console.WriteLine("登录成功！");
                    }
                    else
                    {
                        Console.WriteLine("用户名或密码错误！");
                    }
                    reader.Close();
                }
                catch (Exception ex)
                {
                    Console.WriteLine("发生错误：" + ex.Message);
                }
            }
        }
    }
}

在上述代码中，我们创建了一个"SqlCommand"对象，并将"CommandType"属性设置为"StoredProcedure"。然后，我们添加了存储过程的参数。存储过程在数据库中定义，如下所示：

CREATE PROCEDURE sp_Login
    @Username NVARCHAR(50),
    @Password NVARCHAR(50)
AS
BEGIN
    SELECT * FROM Users WHERE Username = @Username AND Password = @Password;
END

通过使用存储过程，我们将SQL逻辑封装在数据库中，减少了应用程序与数据库之间的直接交互，提高了安全性。

三、输入验证

除了使用参数化查询和存储过程，输入验证也是防止SQL注入的重要手段。我们可以对用户输入进行过滤和验证，确保输入符合预期的格式。以下是一个简单的输入验证示例：

using System;
using System.Text.RegularExpressions;

namespace SqlInjectionPrevention
{
    class Program
    {
        static bool IsValidInput(string input)
        {
            // 只允许字母、数字和下划线
            Regex regex = new Regex(@"^[a-zA-Z0-9_]+$");
            return regex.IsMatch(input);
        }

        static void Main()
        {
            string username = "testuser";
            string password = "testpassword";

            if (IsValidInput(username) && IsValidInput(password))
            {
                // 执行数据库操作
                Console.WriteLine("输入验证通过，可以执行数据库操作。");
            }
            else
            {
                Console.WriteLine("输入包含非法字符，请重新输入。");
            }
        }
    }
}

在上述代码中，我们定义了一个"IsValidInput"方法，使用正则表达式来验证输入是否只包含字母、数字和下划线。如果输入验证通过，我们才执行数据库操作。这样可以有效地防止恶意SQL代码的注入。

四、白名单过滤

白名单过滤是一种更加严格的输入验证方式。我们可以预先定义一个合法字符的白名单，只允许用户输入白名单中的字符。以下是一个白名单过滤的示例：

using System;
using System.Text;

namespace SqlInjectionPrevention
{
    class Program
    {
        static string WhiteListFilter(string input)
        {
            string whiteList = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_";
            StringBuilder filteredInput = new StringBuilder();

            foreach (char c in input)
            {
                if (whiteList.IndexOf(c) != -1)
                {
                    filteredInput.Append(c);
                }
            }

            return filteredInput.ToString();
        }

        static void Main()
        {
            string username = "testuser'; DROP TABLE Users; --";
            string filteredUsername = WhiteListFilter(username);
            Console.WriteLine("过滤后的用户名：" + filteredUsername);
        }
    }
}

在上述代码中，我们定义了一个"WhiteListFilter"方法，遍历输入字符串中的每个字符，只将白名单中的字符添加到过滤后的字符串中。这样可以确保输入只包含合法字符，从而防止SQL注入。

五、总结

在ASP.NET开发中，防止SQL注入是保障应用程序安全的重要任务。我们可以采用多种方式来防止SQL注入，包括使用参数化查询、存储过程、输入验证和白名单过滤等。参数化查询和存储过程是最常用的方法，它们可以有效地避免恶意SQL代码的注入。输入验证和白名单过滤可以进一步增强应用程序的安全性，确保用户输入符合预期的格式。通过综合运用这些方法，我们可以大大降低SQL注入的风险，保护应用程序和数据库的安全。

在实际开发中，我们应该根据具体的需求和场景选择合适的防止SQL注入的方法。同时，我们还应该定期对应用程序进行安全审计，及时发现和修复潜在的安全漏洞。只有这样，我们才能确保应用程序的安全性，为用户提供可靠的服务。

希望本文介绍的代码范例和方法能够帮助你在ASP.NET开发中有效地防止SQL注入。