سلام

چطور میشه کدهای sql نوشته شده در یک سایت را بصورت پارامتری تبدیل کرد؟ آیا نرم افزار یا روش خاصی هست یا حتما باید دستی و یا SQL این کار را کرد؟

مثلا

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

تبدیل به

txtUserId = getRequestString("UserId");
sql = "SELECT * FROM Customers WHERE CustomerId = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txtUserID);
command.ExecuteReader();

و آیا روشی برای نمایش و حل SQL Injection وجود داره؟ غیر از دستی