参数化查询可以防止sql注入原因:参数化查询可以对参数进行过滤,还能够重用执行计划,若执行计划被重用的话,SQL所要表达的语义是不会变化的,因此参数化查询可以防止SQL注入。
使用参数化查询语句进行查询的示例:string Account =Request.Form["Account"]; string sql = "select id,Name,Account from ...