在C#中，我們通常使用System.Data.SqlClient命名空間下的SqlCommand和SqlConnection類來(lái)與SQL Server數(shù)據(jù)庫(kù)進(jìn)行交互。在這個(gè)過(guò)程中，使用參數(shù)化查詢是最佳實(shí)踐，因?yàn)樗粌H可以防止SQL注入攻擊，還可以提高代碼的可讀性和可維護(hù)性。下面是一個(gè)詳細(xì)的步驟和代碼示例：

1、首先，你需要建立一個(gè)數(shù)據(jù)庫(kù)連接。要實(shí)現(xiàn)這一點(diǎn)，你需要?jiǎng)?chuàng)建一個(gè)SqlConnection對(duì)象，并使用數(shù)據(jù)庫(kù)的連接字符串初始化它。這個(gè)連接字符串通常包含數(shù)據(jù)庫(kù)服務(wù)器的位置、數(shù)據(jù)庫(kù)名稱、以及登陸服務(wù)器的用戶名和密碼。

2、接下來(lái)，你需要打開(kāi)到數(shù)據(jù)庫(kù)的連接。你可以使用connection.Open()方法來(lái)實(shí)現(xiàn)這一點(diǎn)。

3、然后，你可以創(chuàng)建一個(gè)SqlCommand對(duì)象，將你的SQL查詢和所需的參數(shù)作為輸入。注意，應(yīng)避免直接將變量插入查詢字符串，因?yàn)檫@可能使你的程序暴露于SQL注入攻擊。取而代之的是，你應(yīng)該使用SqlParameter對(duì)象來(lái)添加參數(shù)，然后將其添加到SqlCommand對(duì)象的參數(shù)集合中。

4、之后，你可以執(zhí)行這個(gè)命令。你可以使用command.executeReader()方法來(lái)執(zhí)行查詢并返回一個(gè)SqlDataReader對(duì)象，這個(gè)對(duì)象包含查詢結(jié)果。

5、最后，你需要通過(guò)SqlDataReader對(duì)象來(lái)讀取查詢結(jié)果。你可以使用Read()方法來(lái)讀取每一行數(shù)據(jù)。

所以，完整的代碼示例可能如下所示：

string connectionString = "Data Source=serverName;Initial Catalog=databaseName;User ID=username;Password=password";using (SqlConnection connection = new SqlConnection(connectionString)){    connection.Open();
    string sql = "select * from table where column = @param";    using (SqlCommand command = new SqlCommand(sql, connection))    {        command.Parameters.AddWithValue("@param", yourVariable);
        using (SqlDataReader reader = command.executeReader())        {            while (reader.Read())            {                Console.WriteLine(reader["columnName"]);            }        }    }}