为了在C# WinForms中验证用户输入的数据是否包含SQL注入攻击语句，可以使用多种方法来检测和防止SQL注入。以下是几种常见的方法：

1. 使用参数化查询

参数化查询是防止SQL注入的最佳实践，它通过将用户输入作为参数传递给SQL查询，而不是直接嵌入到SQL字符串中。这样可以确保用户输入不会被解释为SQL代码。

using System.Data.SqlClient;  public void ExecuteQuery(string userInput) {     string connectionString = "数据库连接字符串";     string query = "SELECT * FROM Users WHERE Username = @Username";      using (SqlConnection connection = new SqlConnection(connectionString))     using (SqlCommand command = new SqlCommand(query, connection))     {         command.Parameters.AddWithValue("@Username", userInput);          connection.Open();         SqlDataReader reader = command.ExecuteReader();         while (reader.Read())         {             // Process the data         }     } } 

2. 检查用户输入中的危险字符

可以在用户输入中检查和过滤常见的SQL注入字符和关键字，例如单引号 (')、双引号 (")、分号 (;)、注释符号 (--)，以及常见的SQL关键字（如 SELECT、INSERT、DELETE、UPDATE、DROP 等等）。

public bool IsSqlInjection(string input) {     string[] sqlCheckList = { "SELECT", "INSERT", "UPDATE", "DELETE", "DROP", "--", ";", "'" };     foreach (string item in sqlCheckList)     {         if (input.IndexOf(item, StringComparison.OrdinalIgnoreCase) >= 0)         {             return true;         }     }     return false; }   string userInput = txtUserInput.Text; if (IsSqlInjection(userInput)) {     MessageBox.Show("输入包含不安全的字符，请重新输入。"); } else {     // 继续处理用户输入     ExecuteQuery(userInput); } 

3. 使用ORM框架

使用ORM（对象关系映射）框架，如Entity Framework，可以大大减少SQL注入的风险，因为ORM框架会自动处理参数化查询。

using (var context = new YourDbContext()) {     var user = context.Users.SingleOrDefault(u => u.Username == userInput);     if (user != null)     {         // Process the user data     } }