您绝对应该使用参数化查询来确保自己的安全。
不过,您不必每次都手动创建参数化查询。您可以修改提供的通用方法以接受的集合
MySqlParameters:
public void Insert(string strSQL, List<MySqlParameter> params){ if(this.OpenConnection() == true) { MySqlCommand cmd = new MySqlCommand(strSQL, connection) foreach(MySqlParameter param in params) cmd.Parameters.Add(param); cmd.ExecuteNonQuery(); this.CloseConnection(); }}我还应该提到,在使用完连接后(通常在一个
using块中进行处理,但是在代码示例中看不到这一详细程度),您应该非常小心地清理连接。
