SqlParameter的用法

我有个数据访问层的类DBHelper，里面有个方法RunSQLReturnDT，用来执行sql语句，并返回DataTable。在业务逻辑层，我调用DBHelper.RunSQLReturnDT(sql).而我想在业务逻辑层的方法里，用SqlParameter的方法把sql语句处理一下，不用拼接的方法。该怎么做呢？

例如添加
StringBuilder strSql = new StringBuilder();
strSql.Append("insert into book(");
strSql.Appen("bookID,bookName,bookPrice)");
strSql.Append(" values (");
strSql.Append("@bookID,@bookName,@bookPrice)");
SqlParameter[] parameters = {
new SqlParameter("@bookID", SqlDbType.Int,4),
new SqlParameter("@bookName", SqlDbType.NVarChar,100),
new SqlParameter("@bookPrice", SqlDbType.Int,4)};
parameters[0].Value = bookID;
parameters[1].Value = bookName;
parameters[2].Value = bookPrice;

然后连接数据库其他的都正常走~~
就是定义SqlCommand对象后
把SqlParameter循环赋值给SqlCommand对象就可以了
例如：
if (parameters!= null)
{
foreach (SqlParameter parm in parameters)
cmd.Parameters.Add(parm);//cmd为SqlCommand对象
}

cmd.parameters.add方法有好多重载的方法，只是参数形式不同而已，核心过程还是一样的，只是形式不一样 cmd.parameters.add("pagesize", sqldbtype.int, 4)，这个方法里面可能是这样实现的 cmd.parameters.add(string name, sqldbtype type, int size) { cmd.parameters.add(new sqlparameter(name, type, size); } 这样理解了吧

那用存储过程吧，用sqlparameter传参数，这样就不是拼接的了。或者这样： select * from testTable where name = @name and pwd = @pwd;