■SQLを発行する際は、条件句をパラメータ化することが、Security上望ましい

　また、記号のエスケープや文字列の場合''の付与等も自動で行ってくれる。

　・sqlCommand.Parameters.Add(New SqlParameter("パラメータ名", 値))

　・SQL句にパラメータ名を埋め込む

　ex)

     cmd.CommandText = "SELECT * FROM Test Where UserId = @UserId"

     cmd.Parameters.Add(New SqlParameter(@UserId, 'TestUser'))

■同じ名前のパラメータは使いまわせる

ex)

     cmd.CommandText =

　　"SELECT * FROM Test Where UserId = @UserId and UpdateUserId = @UserId

     cmd.Parameters.Add(New SqlParameter(@UserId, 'TestUser'))