在.NET程序中避免SQL注入是非常重要的，因为SQL注入是一种常见的安全漏洞，攻击者可以利用它来执行恶意SQL代码，从而访问或篡改数据库中的数据。以下是一些避免SQL注入的最佳实践：

1. 使用参数化查询

参数化查询是防止SQL注入的最有效方法之一。它通过将参数与SQL语句分开处理，使得攻击者无法修改SQL的结构来执行恶意代码。

示例（使用ADO.NET）

        string query = "SELECT * FROM Users WHERE Username = @username AND Password = @password";        using (SqlConnection conn = new SqlConnection(connectionString))        {            SqlCommand cmd = new SqlCommand(query, conn);            cmd.Parameters.AddWithValue("@username", username);            cmd.Parameters.AddWithValue("@password", password);            conn.Open();            SqlDataReader reader = cmd.ExecuteReader();            // 处理结果...        }    

1. 使用ORM框架

使用对象关系映射（ORM）框架如Entity Framework、Dapper等，这些框架通常提供内置的参数化查询支持，并且可以减少直接编写SQL语句的需要。

示例（使用Entity Framework）

        using (var context = new YourDbContext())        {            var user = context.Users.FirstOrDefault(u => u.Username == username && u.Password == password);            if (user != null)            {                // 用户验证成功            }        }    

3. 使用存储过程

虽然使用存储过程可以减少直接在代码中编写SQL语句的需要，但它本身并不自动防止SQL注入。确保在调用存储过程时使用参数化查询。

示例（使用ADO.NET调用存储过程）

        string query = "YourStoredProcedureName";        using (SqlConnection conn = new SqlConnection(connectionString))        {            SqlCommand cmd = new SqlCommand(query, conn);            cmd.CommandType = CommandType.StoredProcedure;            cmd.Parameters.AddWithValue("@username", username);            cmd.Parameters.AddWithValue("@password", password);            conn.Open();            cmd.ExecuteNonQuery();        }    

4. 验证和清理输入数据

虽然这不是防止SQL注入的直接方法，但验证和清理输入数据可以帮助减少一些基于输入的攻击风险。例如，确保输入符合预期的格式，并适当地清理或转义特殊字符。但在大多数情况下，最好依赖于参数化查询而不是依赖于输入验证。

5. 使用安全的数据库库和框架版本

确保你使用的数据库库和框架是最新版本，因为新版本通常会包含安全补丁和改进的安全特性。

通过遵循上述最佳实践，你可以显著降低你的.NET应用程序面临SQL注入攻击的风险。始终优先考虑使用参数化查询和ORM框架，因为它们提供了最强的防护措施。