SQLParameter

在 C# 中撰寫 SQL 語法可以不須一直用 '+' 連接變數，可用 Parameters 把值放入 SQL 字串
原始

string queryString = "insert into mytable (myregion,myname) values(N' " + region + "',N'" + name + "' )";

使用 Parameters

using System.Data.SqlClient ;

string queryString = "insert into mytable (myregion,myname) values(@myregion,@myname)";
SqlConnection cn = new SqlConnection(cs);
SqlCommand cmd = new SqlCommand(queryString, cn);
cmd.Parameters.AddWithValue("@myregion", region);
cmd.Parameters.AddWithValue("@myname", name);
cmd.ExecuteNonQuery();

引入方式有多種

1.
cmd.Parameters.Add("@myregion", SqlDbType.NVarChar); 
cmd.Parameters["@myregion"].Value = region;
2.
cmd.Parameters.AddWithValue("@myregion", region);
3.
cmd.Parameters.Add(new SqlParameter("@myregion", region));

引用
余小章-如何使用 SQLParameter 物件