使用參數(shù)化的SQL語句能有避免SQL注入，不用oledbparameter參數(shù)的SQL語句，無非就是用拼接字符串的方式來寫SQL語句，沒有經(jīng)過任何過濾，會有危險字符進入，用oledbparameter的話，內(nèi)部會自動幫你過濾

另外如果你是用的Sql Server數(shù)據(jù)庫的，用存儲過程的話，因為你存儲過程是存放在數(shù)據(jù)庫服務(wù)端的，這時候就得用參數(shù)了，參數(shù)的值在程序里提供，因為是sql server嘛，所以用的是SqlParameter，而不是oledbparameter

參數(shù)傳遞，很多人提問怎么過濾SQL注入，答案第一個就是參數(shù)傳遞。

示例：使 用 OleDbParameter 變量　時要注意參數(shù)和參數(shù)數(shù)組，及數(shù)組賦值時的順序