Параметризирането се извършва много лесно. Много по-лесно от пречистването на SQL заявки и по-малко разхвърляни или податливи на грешки от ръчното избягване.
Леко редактирано копиране/поставяне от тази страница с урок защото се чувствам мързелив:
// User input here
Console.WriteLine("Enter a continent e.g. 'North America', 'Europe': ");
string userInput = Console.ReadLine();
string sql = "SELECT Name, HeadOfState FROM Country WHERE [email protected]";
MySqlCommand cmd = new MySqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@Continent", userInput);
using (MySqlDataReader dr = cmd.ExecuteReader())
{
// etc.
}
Това не беше толкова трудно, нали? :)