asp.net SqlParameter如何根据条件有选择的添加参数

SqlParameter带参数的增删改查语句,可以防止注入.有时候写sql语句的时候会根据方法传进来的参数来判断sql语句中where条件的参数. 一般方法 DAL层方法 代码如下: public UserInfo GetAll(UserInfo a) { string strSql = “select id,name,code,password from [tb].[dbo].[User] where 1=1”; strSql += ” and [id]=@id”; strSql += ” and [name]=@name”; strSql += ” and [code]=@code”;