sql

1.用户自己定义的局部变量，其变量名字前加"@"

insert into 学生(学号,姓名,性别,年龄,所在系) values (@学号,@姓名,@性别,@年龄,@所在系)

2.sqlparameter[]

sqlparameter[]是防止sql注入的,也就是说sql后面加的条件语句中所满足的条件，在显示的时候是个隐藏的变量，而不会出现值下面对这个方法进行引用，注意上述方法是调用存储过程

add每次只能添加一个SqlParameter,
addrange添加多个SqlParameter

例如：

SqlParameter[] param ={
                                      new SqlParameter("@学号",txtID.Text),
                                      new SqlParameter("@姓名",txtName.Text),
                                      new SqlParameter("@性别",txtSex.Text),
                                      new SqlParameter("@年龄",Convert.ToInt16(txtAge.Text)),
                                      new SqlParameter("@所在系",txtDept.Text)
                                  };
            SqlConnection conn = new SqlConnection(connStr);
            SqlCommand cmd = new SqlCommand(sql, conn);
            conn.Open();
            cmd.Parameters.AddRange(param);