ASP.NET是否能防止SQL注入攻击？

是和不是。

ADO.NET非常支持参数化，当你正确使用它时，参数值将自动进行清理以防止SQL注入。因此，你可以向SqlCommand（或SqlDataSource控件）添加参数而不必太担心参数中包含的内容。

好消息是参数化非常容易。我将展示一个用C#编程实现的例子，但是如果你喜欢，也可以使用服务器控件在声明式中完成。

坏消息是就像其他任何事情一样，你仍然需要考虑你在做什么。任何来自不安全来源的字符串，如果想要保证安全性，必须进行参数化。如果直接将其原样粘贴到查询中，则会绕过ADO.NET的安全功能。

安全：

string name = txtName.Text;
sqlCommand.CommandText = "select * from product where name = @name";
sqlCommand.Parameters.AddWithValue("name", name);

不安全：

string name = txtName.Text;
sqlCommand.CommandText = "select * from product where name = " + name;

如果你的SQL查询中有任何来自用户的输入，你需要将其放入参数中，否则一切都无法保证。就像几乎任何事情一样，如果你真的想这样做，可能会给自己带来麻烦。例如，你可以将SQL代码放入参数中，并将其传递给SQL EXEC语句。但你不会这样做，对吗？因为这是一个非常糟糕的想法。

即使这样仍然不安全（是的，我在生产代码中看到过这种情况！）

string sql = "select * from product where name = " + txtName.Text;
sqlCommand.CommandText = "exec(@sql)";
sqlCommand.Parameters.AddWithValue("sql", sql);

TL;DR: ADO.NET拥有出色的功能来防止SQL注入，但只有在正确使用它们时才能发挥作用。

不。只要您提供SQL，就由您来巧妙地使用控件。

通常意味着清理输入并使用参数查询或存储过程而非动态SQL语句。

如果控件为您生成查询（例如成员控件等），则您将得到很好的保护。

大多数ASP.Net控件（除了DataGrid）根本不使用SQL。

如果您在代码中使用自己的SQL（使用SqlCommand），则不会获得任何免费保护; 您需要使用参数。

少数使用SQL的控件（SqlDataSource和成员框架）确实使用参数，并且可以防止注入攻击。

ASP.NET无法防止SQL注入攻击！

ASP.NET只是Web应用程序框架，它不规定您以何种方式访问数据库。这取决于您如何实现数据访问：

• 如果您正在使用ADO.NET，并且将SQL查询作为字符串构建，则必须对任何用户输入进行清洗，以免受到注入攻击。
• 如果您正在使用ADO.NET并使用SqlParameters，则我认为您可以免受注入攻击。
• 如果您使用ORM工具进行数据访问，则我认为您是安全的（至少在使用常见工具时是这样）
• 如果您正在使用DataSets，则您也可能是安全的。
• 如果您正在使用某些第三方数据绑定控件，则我希望它们会注意保护您免受SQL注入攻击

也许我在答案中忘记了很多事情，但您可以看出答案是：“要看情况而定”

如果您始终使用 SqlParameter，并且从不将用户输入连接到 SQL 中，那么您应该是安全的。您也可以在没有存储过程的情况下使用 SqlParameter。

不，ASP.Net不能防止SQL注入。ASP.Net控件的MS提供的代码应该是没有SQL注入问题的，但这并不能防止开发人员陷入所有问题中。最好的防御是对SQL注入有良好的理解和谨慎的编码。当这是无法实现的，出于任何原因，有一些工具可以帮助，比如Microsoft Code Analysis Tool .NET (CAT.NET)。这是一个免费的VS插件，可以分析生成的程序集并检测SQL注入、XSS和XPath注入风险。这样的工具并不是万无一失的，但比没有要好得多。

部分地。默认情况下开启了一个过滤器，使得构造SQL注入攻击变得困难，除非将其关闭。

许多ASPNET应用程序访问MSSQL数据库的方法也使它们通常抵抗SQL注入攻击。

但是，如果你够粗心，仍然有可能创建一个易受攻击的应用程序。