避免SQL注入的方法有两种：
一是所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理，不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程，所以有人提出了第二种方案：参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样：

在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我们用参数化SQL语句表示为： 

再对代码中对这个SQL语句中的参数进行赋值，假如我们要查找UserInfo表中所有年龄大于30岁的男性用户，这个参数化SQL语句可以这么写：

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码： 

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库，那么对应的参数化SQL语句及参数分别如下：

      通过上面的实例代码我们可以看出尽管SQL语句大体相似，但是在不同数据库的特点，可能参数化SQL语句不同，例如在Access中参数化SQL语句是在参数直接以“?”作为参数名，在SQL Server中是参数有“@”前缀，在MySQL中是参数有“?”前缀，在Oracle中参数以“:”为前缀。
注意：因为在Access中参数名都是“?”，所以给参数赋值一定要按照列顺序赋值，否则就有可能执行出错。

Command对象传参效率测试

在.net平台，普通的insert语句有两种写法，不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2)，它们的执行效率如何呢？
做了个试验，代码如下：(数据库是oracle)

执行结果：
10000记录：
不传参数?5:46:19 15:46:34 15秒
传参数：?5:50:51 15:51:01 10秒

50000记录：
不传参数  16:09:03 16:10:24 81秒
传参数：：16:15:43 16:16:36 53秒
这只是2个参数的情况，如果参数很多会不会影响更大呢？

10000记录，7个参数：
不传参数：17:11:01 17:11:18 17秒
传参数：17:13:46 17:13:59 13秒
50000记录：7个参数：
不传参数：17:19:02 17:20:25 1分23秒
传参数：17:15:09 17:16:10 1分1秒

需要相差不大，但是向command对象传递参数既可以避免sql注入问题，也可以提高性能；