黑马视频-Command添加对象

第一步、创建连接字符串
string connectionString="Data Source= xxx;Initial Catelog= xxx; Integrated Security=True";
第二部、创建连接对象
SqlConnection con=new SqlConnection(connectionString);
第三步、创建Sql语句
string sql=string.Format("XXX");
第四步、创建执行对象
SqlCommand cmd=new SqlCommand(sql,con);
第五步、打开数据库
con.open();
第六步、执行
cmd.ExecuteNonQuery|ExecuteScalar|ExecuteDataReader
//附加参数 (1)
SqlParameter[] params=new SqlParameter[]{
  new SqlParameter("@uid",uid.Text.Trim());
  new SqlParameter("@pwd",pwd.Text.Trim());
};
//附加参数(2)
cmd.Parameters.AddWithValue("@uid",uid.Text.Trim())
cmd.Parameters.AddWithValue("@pwd",pwd.Text.Trim())
//附加参数(3)
SqlParameter p1=new SqlParameter("@uid",uid.Text.Trim());
cmd.Add(p1);
SqlParameter p2=new SqlParameter("@pwd",pwd.Text.Trim());
cmd.Add(p2);
--如何进行防治注入Sql共计，采用参数进行，而非拼接字符串Sql