常见的误解有：
1. 只用 ado.net ，无法进行动态 SQL 拼接。
2. 有几个动态参数，代码的重复量就成了这些参数的不同数量的组合数，动态参数越多，重复量越大。

对于第二个问题，以下的错误代码为其证据：
复制代码 代码如下:
if(id>0 && string.IsNullOrEmpty(name))
{
command.CommandText = "select * from t1 where id=?";
command.Parameters.Add(id);
}
if(id<=0 && !string.IsNullOrEmpty(name))
{
command.CommandText = "select * from t1 where name=?";
command.Parameters.Add(name);
}
if(id<=0 && !string.IsNullOrEmpty(name))
{
command.CommandText = "select * from t1 where id=? and name=?";
command.Parameters.Add(id);
command.Parameters.Add(name);
}

这两个问题都很好解决，给一个正确的代码例子大家看看即可：
复制代码 代码如下:
string sql ="select * from t1 where 1=1";
if(id != null)
{
sql += " and id=?";
addParameterValue(cmd,id);
}
if(!string.IsNullOrEmpty(name))
{
sql += " and name=?";
addParameterValue(cmd,name);
}
command.CommandText = sql;

这里的技巧在于，使用了一个 "where 1=1"， 巧妙解决了后续 sql 拼接中，每行开头是否要有 "and" 的问题。而这个 "where 1=1"，并不会对数据库的索引执行，造成性能上的影响。

对参数进行排列组合，然后写各种组合的 SQL，这个思路很奇怪。问题是，很多初学者，都有这个思维习惯。本人不是计算机科班出身，不知道是否哪本教科书，就是如此教导的。但很不幸的是，这个思维习惯是错误的。

"where 1=1" 虽是教科书中没有的小技巧，却很管用。


另外，在程序中，一般会在用户界面上让使用用户录入数字，这个数字的数值，在代码中会自动变成 string，然后尝试 string 转换成 int/long，最后送到 sql 函数里。这里需要特别注意的是，很多人把某个特殊的数值，作为“用户无录入的默认值”，正如本文开头所写的错误代码那样：

复制代码 代码如下:
if(id>0 && string.IsNullOrEmpty(name))


问题在于，0 是否是不正常的业务数值，代码中看不出来。不排除程序员随意指定一个数值，作为“用户无录入的默认值”，如果不巧这个默认值，实际上是有其他意义的，那就造成问题。

在数据库的理论中，没有指定的数据，是用 null 来表示的，不论是 string 还是 int/long。

这是一个很好的思路，同样可以用在这里的 sql 拼接中。因此，我们在后面的代码中，使用了这个：
复制代码 代码如下:
if(id != null)

上述代码中，

addParameterValue(cmd,name); 是一个简单封装的函数，用来封装如下一小段代码，目的是让最后的代码，较为简捷直观：
复制代码 代码如下:
DbParameter p = cmd.CreateParameter();
p.ParameterName = "@XXX";
p.Value = TTT;
cmd.Parameters.Add(p);

当然，这个 addParameterValue() 封装函数，是可有可无的。多写几个 DbParameter p = cmd.CreateParameter() 并没有什么大问题。