SqlCommand执行带参数的sql语句

SqlCommand执行带参数的sql语句：

一：使用带拼接的Sql语句，可以用SqlCommand执行

  /// <summary>
    /// 根据姓名查是否在数据库中存在该姓名
    /// </summary>
    /// <param name="name"></param>
    /// <returns></returns>
public bool IsExist(string name)
    {
        conn.Open();
        string sql = "select Count(*) from Users where UserName='" + name + "'";
        SqlCommand cmd = new SqlCommand(sql, conn);
        if ((Convert.ToInt32(cmd.ExecuteScalar()) > 0))
        {
            return true;
        }
        else
        {
            return false;
        }

    }

二：直接使用标准的UserName = @Username来实现，比较简单，标准。
    protected bool isName(string username)
    {
        //定义查询数据库的连接字符串
        string sqlstr = "select count(*) from Users where UserName = @Username";
        //打开数据库连接
        conn.Open();
        //创建命令对象
        SqlCommand cmd = new SqlCommand(sqlstr, conn);
        //判断SqlCommand对象的ExecuteScalar方法返回的参数是否大于0，大于0说明用户已经存在
        cmd.Parameters.AddWithValue("@Username", username);
        if (Convert.ToInt32(cmd.ExecuteScalar()) > 0)
        {
            return true;
        }
        else
        {
            return false;
        }
    }