SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端，欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句： +txtbox1.text+; 其中txtbox1是一个textbox控件，正常情况下我们会在这个textbox控件中输入一个姓名来查询员工的信息。 但是如果有用户在这个textbox控件中恶意输入一个拼接字符串，例如："1' or '1'='1",那么这个查询语句将会变成如下样子： 针对这个问题，可以用占位符的方法来解决。我们利用SqlCommand类中Parameters的add方法进行改进，具体代码如下： ; ,textBox1.Text)); ◇Parameters机制主要会在数据库中的响应列进行比对，查询是否在该列中存在@后面的字符，这个时候再在textbox中输入类似“1' or '1'='1”的字符已经没有效果了。 ◇@后面的字符参数不能运用于替代一些关键字等信息，只能够用于替代数据库中存在的项的具体值，也就是 “=”号后面的东西。