摘要： 我一直都不喜欢在访问数据库时采用拼接SQL的方法，原因有以下几点：1. 不安全：有被SQL注入的风险。2. 可能会影响性能：每条SQL语句都需要数据库引擎执行[语句分析]之类的开销。3. 影响代码的可维护性：SQL语句与C#混在一起，想修改SQL就得重新编译程序，而且二种代码混在一起，可读性也不好。所以我通常会选择【参数化SQL】的方法去实现数据库的访问过程，而且会将SQL语句与项目代码（C#）分离开。不过，有些人可能会说：我的业务逻辑很复杂，Where中的过虑条件不可能事先确定，因此不拼接SQL还不行。看到这些缺点，ORM用户可能会认为：使用ORM工具就是终极的解决方案。是的，的确ORM可以 阅读全文