最近开始C# 的项目。

TSQL里用过参数来防止SQL注入

在写SQL的时候用@param1 来定义参数。在SqlCommand 里面，用SqlCommand.Parmters.AddWithValue(„@param1“,  Value1);  来帮定参数。

这样输入的参数会自动过滤escape。

参考

http://stackoverflow.com/questions/11528122/escape-character-for-sql-in-c-sharp