调试易

可以用replace（）把‘ 去掉

尽量不好用text直接当参数，最好处理一下

对URL参数进行加密.然后与sql都采用存储过程的方式就行了

防止ASP.NET被SQL注入攻击并不是难事，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。第一，对于动态构造SQL查询的场合，可以使用下面的技术。替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义；删除用户输入内容中的所有连字符；对于用来执行查询的数据库账户，限制其权限。第二，用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限，可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。第三，限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。

参数化sqlParameter，存储过程，过滤字符，不要用拼接的SQL语句等等。

还有LZ要先搞清楚什么是SQL注入。

什么是SQL注入?　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。　　SQL注入　　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

较验了总比不较验了好.在写sql的时候应去避免拼接sql,要用参数化的形式,这样能避免很多问题:)
包括注入

必须使用参数化存储过程+Parameter 

最简单的方法：
把sql敏感的字符替换掉
比如文本框中的 ' 替换成正文的 “  文本框中的 , 替换成中文逗号，-替换成 －
等等 这样就算是注入高手也很难注入了。
另外要是想做的严谨一些，就把sql里的关键字也做一下限制不允许提交。

樓主參照
http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html