Declare um Command normalmente.

//
// Objeto Command
//
var command = new Command();

Depois defina os valores dos parâmetros da sua query, da seguinte forma:

//
// Adicionando o parâmetro
//
command.AddWithValue("@NomeParametro", "Livro");

E execute seu Command com uma query que possua o parâmetro informado, caso contrário uma exceção será disparada informando que o parâmetro adicionado não foi encontrado na query.

//
// Declaração da query que será executada
//
var strQuery = @"Select * FROM Categories WHERE
CategoryName like '@NomeParametro' ";

return (DataTable)command.ExecuteQuery(strQuery, ReturnType.DataTable);

Neste caso o exemplo é uma instrução LIKE, para usar os "caracteres curinga"... concatene-os na string que será adicionada no parâmetro e não na query, da seguinte forma:

//
// Adicionando o parâmetro com os caracteres curinga
//
command.AddWithValue("@NomeParametro", "_Livro%");

Last edited Mar 9, 2010 at 2:35 PM by ivanpaulovich, version 1

Comments

vitorrubio Feb 10, 2011 at 6:20 PM 
Nesse caso: command.AddWithValue("@NomeParametro", "_Livro%"); ele já elimina os apostrofes, traços e /**/ automaticamente para evitar sql injection?