在程序的中间层写sql语句时用
"select * from T_test where key={0}",key这个和参数型的有区别吗？可以做到防注入吗？征集一下注入语句，以求更好的防注入措施

应该使用SQL参数化查询：
cmd.CommandText = "select * from T_Users where username=@username";
cmd.Parameters.Add(new SqlParameter("username", username));