请教使用.net c# access数据库的网站程序防注入方法

各位高手，各位老大，最近一朋友的网站被注入了。朋友让我给想一个办法，我上网查了很多的方法，也在csdn论坛看了很多前辈们的高论，看得我云里雾里的。写得太专业了，我是个菜鸟，甚至不知道那些代码应该要放在哪个文件里面，所以发帖求教各位高手，还望赐予我“解药”。

使用参数化sql，避免拼接sql，具体google：“C# 参数化 sql”
找到桌面上一个画地球的图标，用鼠标左边点一下，然后再在打开的窗口的顶部的框框中输入www.google.com，打回车，在出现的屏幕中间的框框中输入“C# 参数化 sql”，再回车，会“操作”了么？大兄弟？
http://www.cnblogs.com/asdlx/archive/2010/05/14/1735410.html
在操作数据库的时候用SQL参数化，示例：
OleDbConnection cn = new OleDbConnection("连接字符串");
OleDbCommand cmd = new OleDbCommand("insert into 表A (姓名,年龄)values(?,?)", cn);
cmd.Parameters.AddWithValue("?", "张三");
cmd.Parameters.AddWithValue("?", 16);
cn.Open();
cmd.ExecuteNonQuery();
cn.Close();
string sql = "insert into 表(name,price,client,phone,imageurl,comurl) values(@name,@price,@client,@phone,@imageurl,@comurl)";
           SqlParameter[] para = new SqlParameter[] {
                new SqlParameter("@name",Name),
                new SqlParameter("@price",Price),
                new SqlParameter("@client",Client),
                new SqlParameter("@phone",Phone),
                new SqlParameter("@imageurl",Imageurl),
                new SqlParameter("@comurl",Comurl)
           };
差不多就是这样了
兄台建议多用google特别提示搜索技术资料一定要忘记百度

请教使用.net c# access数据库的网站程序 防注入方法