对于使用MSSQL数据库的网站来说，如果没有对SQL注入式攻击进行防御那么将受到致命的打击。关于对付SQL注入攻击的方法已经有许多讨论，但是为什么还是有大量的网站不断地遭受其魔掌呢?安全研究人员认为，现在正是重新梳理最佳方法来对付大规模的SQL注入攻击的时候，从而减轻与注入攻击相关的风险。

　　下面，我们将一一谈论这些方法：

　　应对SQL注入式攻击之使用参数化查询

　　企业应当制定并强化自行开发软件的安全编码指南，要求开发人员使用参数化查询来构建SQL查询，这样就可以将数据与代码区分开来。

　　对于多数SQL查询来说，开发人员需要指明某类标准，为此，就需要利用参数化查询，其实就是在运行时可传递的参数。参数化查询就是在SQL语句中有一个或多个嵌入参数的查询。这种将参数嵌入到SQL语句中的方法与动态构造SQL字符串相比，不易产生错误。下面我们看一个在.NET应用程序中使用参数化查询的例子。假设我们想给张三增加工资500元，可参考如下的代码。这些代码范例演示了参数化查询的使用，并展示了如何使用更新语句：

　　通过利用SQL的更新命令，你可以更新记录。在上面的例子中，我们作了如下操作：创建并打开一个数据库链接;创建一个代表执行更新语句的数据库命令;使用EDBCommand 的ExecuteNonQuery（）方法执行插入命令。

　　每一个参数都用一个EDBParameter对象指明。对于需要在SQL语句中指定的每一个参数来说，你需要创建一个EDBParameter对象，然后将值指派给这个对象。然后，将EDBParameter对象添加到EDBCommand命令的参数集中。