如何在SQL语句中使用字符串变量

query = "Select * From Table Where Title = " + someone;

但是这样做不好，会让你容易受到SQL注入攻击的威胁。

你应该使用参数化查询。

像这样的查询可以帮助你入门。

using (var cn = new SqlClient.SqlConnection(yourConnectionString))
using (var cmd = new SqlClient.SqlCommand())
{
   cn.Open();
   cmd.Connection = cn;
   cmd.CommandType = CommandType.Text;
   cmd.CommandText = "Select * From Table Where Title = @Title";
   cmd.Parameters.Add("@Title", someone);
}

以下内容来自Jon Skeet的答案，他的回答比我的更完整

请参阅SqlCommand.Parameters文档以获取更多信息。

基本上，由于各种原因，你不应将值嵌入到SQL语句中：

• 在代码和数据中混合使用是不优雅的
• 这会使您面临SQL注入攻击，除非您非常小心地进行转义
• 您需要考虑数字、日期和时间等格式和i18n细节
• 当查询保持不变但只有值更改时，优化器需要做的工作就少了 - 它可以直接查找以前的优化查询，因为它们在SQL方面是完全匹配的。

你应该使用参数化的SQL查询：

query = "SELECT * From TableName WHERE Title = @Title";

command.Parameters.Add("@Title", SqlDbType.VarChar).Value = someone;

请查看SqlCommand.Parameters文档以获取更多信息。

基本上你不应该将值嵌入到SQL语句中，因为：

• 将代码和数据混合在一起不太优雅
• 除非你非常小心地进行转义，否则会使你容易受到SQL注入攻击的影响
• 你需要考虑数字、日期和时间等格式化和i18n细节
• 当查询保持不变但只有值改变时，优化器的工作量就会减少——它可以直接查找以前优化过的查询，因为从SQL的角度来看，它们是完全匹配的。

declare @SqlQuery varchar(2000), @Fromdate varchar(20), @Todate varchar(20)

set @Fromdate='01 jan 2017'
set @Todate='30 mar 2017'


set @SqlQuery='select * from tblEmployee where tblEmployee.JDate between '''+ @Fromdate + ''' and '''+ @Todate+ ''''

print  @SqlQuery