使用參數(shù)化的SQL語句能有避免SQL注入，不用oledbparameter參數(shù)的SQL語句，無非就是用拼接字符串的方式來寫SQL語句，沒有經(jīng)過任何過濾，會(huì)有危險(xiǎn)字符進(jìn)入，用oledbparameter的話，內(nèi)部會(huì)自動(dòng)幫你過濾

另外如果你是用的Sql Server數(shù)據(jù)庫的，用存儲(chǔ)過程的話，因?yàn)槟愦鎯?chǔ)過程是存放在數(shù)據(jù)庫服務(wù)端的，這時(shí)候就得用參數(shù)了，參數(shù)的值在程序里提供，因?yàn)槭莝ql server嘛，所以用的是SqlParameter，而不是oledbparameter

參數(shù)傳遞，很多人提問怎么過濾SQL注入，答案第一個(gè)就是參數(shù)傳遞。

示例：使 用 OleDbParameter 變量　時(shí)要注意參數(shù)和參數(shù)數(shù)組，及數(shù)組賦值時(shí)的順序