在ASP.NET中，防止SQL注入的最佳方法是使用参数化查询。参数化查询是一种将查询和数据分开的方法，这样可以确保用户输入的数据不会被解释为SQL代码的一部分。以下是如何在ASP.NET中使用参数化查询来防止SQL注入的示例：

使用SqlConnection和SqlCommand对象：

using System.Data;using System.Data.SqlClient;string connectionString = "your_connection_string";string query = "SELECT * FROM Users WHERE Username = @username AND Password = @password";using (SqlConnection connection = new SqlConnection(connectionString)){using (SqlCommand command = new SqlCommand(query, connection)){command.Parameters.AddWithValue("@username", username);command.Parameters.AddWithValue("@password", password);connection.Open();SqlDataReader reader = command.ExecuteReader();// 处理查询结果}}

使用Entity Framework：

首先，安装Entity Framework：

dotnet add package EntityFramework

然后，创建一个模型类来表示用户数据：

public class User{public int Id { get; set; }public string Username { get; set; }public string Password { get; set; }}

接下来，创建一个DbContext类来连接数据库：

using System.Data.Entity;public class MyDbContext : DbContext{public DbSet<User> Users { get; set; }public MyDbContext() : base("your_connection_string"){}}

现在，你可以使用Entity Framework的参数化查询来防止SQL注入：

using System.Linq;MyDbContext db = new MyDbContext();string username = "your_username";string password = "your_password";var user = db.Users.FirstOrDefault(u => u.Username == username && u.Password == password);if (user != null){// 用户名和密码匹配}else{// 用户名或密码不匹配}

使用Dapper：

首先，安装Dapper：

dotnet add package Dapper

然后，使用Dapper的参数化查询来防止SQL注入：

using System.Data;using System.Text;using Dapper;string connectionString = "your_connection_string";string query = "SELECT * FROM Users WHERE Username = @username AND Password = @password";using (SqlConnection connection = new SqlConnection(connectionString)){var parameters = new DynamicParameters();parameters.Add("@username", username);parameters.Add("@password", password);var user = connection.QueryFirstOrDefault<User>(query, parameters);if (user != null){// 用户名和密码匹配}else{// 用户名或密码不匹配}}

通过使用参数化查询，你可以确保用户输入的数据不会被解释为SQL代码的一部分，从而有效地防止SQL注入攻击。