Việc tham số hóa rất dễ thực hiện. Dễ dàng hơn nhiều so với việc xóa các truy vấn SQL và ít lộn xộn hoặc dễ bị lỗi hơn so với thoát thủ công.
Bản sao / dán được chỉnh sửa một chút từ trang hướng dẫn này bởi vì tôi cảm thấy lười biếng:
// User input here
Console.WriteLine("Enter a continent e.g. 'North America', 'Europe': ");
string userInput = Console.ReadLine();
string sql = "SELECT Name, HeadOfState FROM Country WHERE [email protected]";
MySqlCommand cmd = new MySqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@Continent", userInput);
using (MySqlDataReader dr = cmd.ExecuteReader())
{
// etc.
}
Điều đó không quá khó, phải không? :)