在C#中，防止SQL注入的最佳實踐主要包括以下幾點：

1. 參數化查詢（Parameterized Queries）：使用參數化查詢可以確保用戶輸入被當作參數值而不是SQL代碼的一部分。這樣可以防止惡意用戶在輸入中插入SQL代碼，從而防止SQL注入攻擊。

using (SqlConnection connection = new SqlConnection(connectionString))
{
    using (SqlCommand command = new SqlCommand("SELECT * FROM Users WHERE Username = @Username", connection))
    {
        command.Parameters.AddWithValue("@Username", userInput);
        connection.Open();
        using (SqlDataReader reader = command.ExecuteReader())
        {
            // Process the results
        }
    }
}

2. 存儲過程（Stored Procedures）：存儲過程是一種將SQL代碼預先編寫并存儲在數據庫中的方法。通過使用存儲過程，可以將參數傳遞給存儲過程，而不是直接將參數插入到SQL語句中。這樣可以防止SQL注入攻擊。

using (SqlConnection connection = new SqlConnection(connectionString))
{
    using (SqlCommand command = new SqlCommand("sp_GetUserByUsername", connection))
    {
        command.CommandType = CommandType.StoredProcedure;
        command.Parameters.AddWithValue("@Username", userInput);
        connection.Open();
        using (SqlDataReader reader = command.ExecuteReader())
        {
            // Process the results
        }
    }
}

3. 使用ORM（對象關系映射）工具：ORM工具（如Entity Framework、Dapper等）可以自動處理參數化查詢和存儲過程，從而降低SQL注入的風險。

4. 輸入驗證（Input Validation）：在處理用戶輸入之前，對其進行驗證和清理。可以使用正則表達式、內置函數或第三方庫來驗證輸入是否符合預期的格式。

5. 輸入轉義（Input Sanitization）：在將用戶輸入插入到SQL語句中之前，對其進行轉義。這可以確保用戶輸入不會被解釋為SQL代碼。但請注意，這種方法可能不如參數化查詢和存儲過程安全。

6. 限制數據庫權限：為應用程序使用的數據庫帳戶設置最小權限原則。這樣，即使攻擊者成功地注入了惡意代碼，他們也無法執行危險的操作（如刪除表或數據庫）。

7. 保持軟件更新：定期更新應用程序、數據庫和相關庫，以確保已修復已知的安全漏洞。

遵循這些最佳實踐可以有效地防止SQL注入攻擊，保護您的應用程序和數據庫免受惡意用戶的侵害。