防止SQL注入攻击

不要手动的拼接Sql语句，这样容易造成SQL注入攻击，可以写成Sql参数的形式（SqlParameter）。