Каковы хорошие способы предотвращения SQL-инъекций? [дубликат] ⇐ C#

[Anonymous]

Мне нужно запрограммировать систему управления приложениями для моей компании OJT. Интерфейсная часть будет выполнена на C#, а внутренняя — на SQL.

Я никогда раньше не делал проектов такого масштаба; в школе у ​​нас были только базовые уроки по SQL. Каким-то образом наш учитель совершенно не смог обсудить SQL-инъекции, с чем я столкнулся только сейчас, прочитав об этом в сети.

Итак, в любом случае у меня вопрос: как предотвратить SQL-инъекции в C#? Я смутно думаю, что это можно сделать, правильно замаскировав текстовые поля приложения, чтобы оно принимало ввод только в указанном формате. Например: текстовое поле электронной почты должно иметь формат «example@examplecompany.tld». Будет ли такой подход достаточным? Или в .NET есть предопределенные методы, которые обрабатывают подобные вещи? Могу ли я применить фильтр к текстовому полю, чтобы оно принимало только формат адреса электронной почты, или к текстовому полю имени, чтобы оно не принимало специальные символы?

Подробнее здесь: https://stackoverflow.com/questions/143 ... -injection