asp.net防sql注入

字符:
',select,union,insert,update,join等
数据库操作时采用参数方式，能增加安全。

应该注意COOKIE注入

防止注入式攻击的方法：
http://hi.baidu.com/hkbrian/blog/item/1f69f8eb1e88d4d5d439c94e.html
其他安全注意：
以前看过的一篇文章：
1. 登录页面必须加密

有很多次，笔者看到一些站点在用户的认证完成后仅使用SSL(即在URL中使用https协议)，这真令人不安。在登录之后实施加密有可能有用，这就像把大门关上以防止马儿跑出去一样，不过他们并没有对登录会话加密，这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源，在许多情况下，这仍有可能被一个恶意的黑客攻克，他会精心地伪造一个登录表单，借以访问同样的资源，并访问敏感数据。

2. 数据有效性、合法性检查必须在服务器端完成

许多Web表单包含一些JavaScript的数据合法性、有效性检查。如果这种合法性检查包括目的在于提供改善的安全性的任何内容， 那么这种合法性检查几乎毫无用处。一个恶意的黑客可以在网页的表单活动中伪造一个自己的表单，而这并不会包括任何的合法性检查。更糟的是，在许多情况下，通过在浏览器中禁用JavaScript或使用一个并不支持JavaScript的浏览器，这种JavaScript的有效性、合法性检查就形同虚设。有时，笔者看到一些登录页面的口令合法性检查是在客户端完成的，这会将口令暴露给终端用户，他可以查看页面的源代码;或者，这种页面允许终端用户调整表单以使其总可以报告成功的合法性检查。请不要让你的网站安全成为客户端数据合法性检查的牺牲品。而服务器端的合法性和有效性检查并不存在客户端检查的缺点，因为黑客必须获得对服务器的访问权才能损害它。