Какие меры безопасности позволяют предотвратить SQL-инъекции в веб-приложении?

Для предотвращения SQL-инъекций в веб-приложениях применяют следующие меры безопасности:

• Использование параметризованных запросов (prepared statements), где параметры передаются отдельно от SQL-кода.
• Применение ORM (Object-Relational Mapping) библиотек, которые автоматически экранируют данные.
• Валидация и фильтрация пользовательского ввода на стороне сервера.
• Ограничение прав доступа к базе данных, чтобы минимизировать ущерб при возможной атаке.

Пример параметризованного запроса на C# с использованием ADO.NET:

using (var connection = new SqlConnection(connectionString))
{
    connection.Open();
    var command = new SqlCommand("SELECT * FROM Users WHERE Username = @username", connection);
    command.Parameters.AddWithValue("@username", inputUsername);
    var reader = command.ExecuteReader();
    // обработка результата
}