Prawidłowe tworzenie zapytań do bazy danych.

Witam, w mojej aplikacji łączę się z bazą danych(mam sytem logowania i kilka innych rzeczy). Zapytania tworzę w ten sposób:

        public static void AddUser(string login, string password)
        {
            string commandText = string.Format("INSERT INTO Users (Login, Password) VALUES ('{0}', '{1}')", login, password);
            using (MySqlCommand cmd = new MySqlCommand(commandText, Connection))
            {
                cmd.ExecuteNonQuery();
            }
        }

Słyszałem, że taki kod nie jest ani elegancki, ani odporny na ataki typu SQLInjection. Jak to zrobić prawidłowo? Pisząc komendy w ten sposób łatwo się pomylić. Są jakieś klasy/metody/co kolwiek do tworzenia zapytań SQL/MySQL?

Użyj parametrów...

LINQ.

entity framework

Wałbrzych!

Sorry, chodziło mi o nHibernate. Bo czy LINQ i EF zadziałają z MySQL to tylko starzy Indianie wiedzą.

linq działa z dbml pracującym na mysql

Ja też bym polecał raczej zapoznać się z NHibernate i zapomnieć o "standardowym" budowaniu zapytań ;)

Aplikacja jest na tyle prosta, że wystarczą mi parametry bo są bardzo intuicyjne i nie muszę nic dodatkowego ściągać. Jednak zaraz po skończeniu pisania mojego programu przechodzę do ADO.NET więc dzięki wszystkim za odp.