如何在 C# 中防止 SQL 注入攻击？

在 C# 中防止 SQL 注入攻击非常重要，因为 SQL 注入是一种常见的安全漏洞，攻击者可以通过构造恶意 SQL 语句来获取、修改或删除数据库中的数据。以下是一些防止 SQL 注入的方法：

1. 使用参数化查询（Parameterized Queries）：
使用 `SqlCommand` 的 `Parameters` 属性，所有的输入都作为参数传递，而不是直接拼接到 SQL 语句中。例如：

string searchTerm = "John Doe";
using (SqlConnection connection = new SqlConnection(connectionString))
{
    string query = "SELECT * FROM Users WHERE Username LIKE @searchTerm";
    SqlCommand command = new SqlCommand(query, connection);
    command.Parameters.AddWithValue("@searchTerm", "%" + searchTerm + "%");
    connection.Open();
    SqlDataReader reader = command.ExecuteReader();
}

2. 验证和转义用户输入：
对用户提交的数据进行适当的验证和清理，确保它们只包含预期的字符。使用 `SqlFunctions` 或 `Regex` 进行特殊字符的替换。

3. 使用 ORM 框架（如 Entity Framework or Dapper）：
ORM 可以自动处理参数化查询，减少了手动编写 SQL 的需求，从而降低了注入风险。

4. 不要使用字符串连接构建 SQL 语句：
尽量避免使用 `+` 运算符连接字符串，即使使用了 `StringBuilder` 或 `String.Format`，也要确保参数正确。

5. 使用存储过程（StoredProcedure）：
如果可能，使用存储过程执行敏感操作，这些过程通常在服务器端定义并受到更严格的权限控制。

6. 最小权限原则：
为数据库连接设置最小权限，确保攻击者即使成功注入也无法执行超出他们权限的操作。