关于SqlParameter的问题.

请先看下面代码:
===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

①            SqlParameter[] paras = {
                new SqlParameter("@SendTime", SqlDbType.DateTime, 8)
            };
②            SqlParameter[] parasName = {
                new SqlParameter("@ReceiverName", SqlDbType.NVarChar)
            };
            paras[0].Value = DateTime.Parse(SendTime);
            paras[1].Value = DateTime.Parse(ReceiverName);
            return base.SqlRuner.ExecuteDataTable(sql, paras);
        }
===========================================================================
我的疑问是,其中的"SendTime"和"ReceiverName"直接由参数获得不就可以了么?
为什么还要用①②的代码?为什么不可以直接写成:

===========================================================================
        public DataTable SendBoxForSendTime(string SendTime ,string ReceiverName)
        {
            string sql = "select * from [Table_Sms] where [SendTime]=@SendTime and [ReceiverName]=@ReceiverName";

            return base.SqlRuner.ExecuteDataTable(sql);

【chanfengsr】:
这就是C＃强类型的SQL命令吗！这样的命令参数定义好之后类型就是定了，如果给的参数类型不对，立马就会报错。
而直接用参数来拼串的话就不能保证参数和语句的正确性！而且容易被注入。
规范的带参数的SQL命令，应该用SqlCommand来执行！