使用參數化的SQL語句能有避免SQL注入，不用oledbparameter參數的SQL語句，無非就是用拼接字符串的方式來寫SQL語句，沒有經過任何過濾，會有危險字符進入，用oledbparameter的話，內部會自動幫你過濾

另外如果你是用的Sql Server數據庫的，用存儲過程的話，因為你存儲過程是存放在數據庫服務端的，這時候就得用參數了，參數的值在程序里提供，因為是sql server嘛，所以用的是SqlParameter，而不是oledbparameter

參數傳遞，很多人提問怎么過濾SQL注入，答案第一個就是參數傳遞。

示例：使 用 OleDbParameter 變量　時要注意參數和參數數組，及數組賦值時的順序

多翻翻MSDN,里面的資料比較全面,如果MSDN沒有,再嘗試搜索引擎.