sql中like,in用法在parameters中如何使用，避免sql injection问题

在写代码的时候如果直接组合查询语句容易引起sql injection问题，如果把查询值放到parameters中，就可以消除一些查询值中存在sql关键字的隐患。

下面是一些代码示例:

strSql="select * from tb where test=@test" 

SqlCommand sqlcom = new SqlCommand(strSql, sqlcon);
 sqlcom.Parameters.Add("@test", SqlDbType.VarChar, 100);
 sqlcom.Parameters["@test"].Value = "%"+strTitle+"%";