调试易

呵呵，
  第一种方法比较安全，防止恶意的SQL注入，
第二种是直接拼接起来的，呵呵，效果差不多

第一个是参数化查询@id等于第二个的 txtvalue.text
myparm.Value = txtvalue.Text; 这句就是给@id赋值了第二个是拼接字符串参数化查询可以防止sql注入！！！

第一种方法比较规范和安全,第二种方法容易受SQL注入

在安全方面，拼接字符串很容易被攻击
http://topic.csdn.net/u/20090808/19/6339d889-d8d9-454e-99af-acdbfed4dc49.html

@id 是变量 可以用
SqlParameter[] para = new SqlParameter[]{"@id"，要赋的值};
这种可以放SQL注入

都说完了，主要是防止SQL注入！！~

用第一种方法，防止sql注入式攻击
下面是我经常用到的方法
       /// <summary>
       /// 执行增，删，改的方法，支持存储过程
        /// </summary>
       /// <param name="connectionString">连接字符串</param>
       /// <param name="commandType">命令类型，如果是sql语句，则为CommandType.Text,如果是存储过程则为CommandType.StoredProcdure</param>
        /// <param name="cmdText">SQL语句或者存储过程名称</param>
        /// <param name="para">SQL参数，如果没有参数，则为null</param>
        /// <returns>受影响的行数</returns>
        public static int ExecuteNonQuery(CommandType commandType, string cmdText, params SqlParameter[] para)
        {
            using (SqlConnection conn = new SqlConnection(connectionString))
            {
                SqlCommand cmd = new SqlCommand();
                cmd.Connection = conn;
                cmd.CommandType = commandType;
                cmd.CommandText = cmdText;
                if (para != null)
                {
                    foreach (SqlParameter sp in para)
                    {
                        cmd.Parameters.Add(sp);
                    }
                }
                conn.Open();
                return Convert.ToInt32(cmd.ExecuteNonQuery());
            }
        }