sql参数化查询语句

   写SQL模糊查询语句可能大多数是这样写:

        string sql = "select * from UserInfo where username like  '%"+username +"%'"; 

    但这样直接在sql语句中拼接字符串似乎不太明智。很不安全。

    还有一种写法:

        string sql = "select * from UserInfo where username like @username";

    注明：这里无需单引号。

    按上面的写法,需要传递@username参数.,并且在传递参数值时需要写模糊查询特征字符‘%’.

    例如我们要查含有字符a的用户,则可以这样传递参数:

        string name="liu";

        sqlparameter p =new sqlparameter("@username","%"+name+"%");