关于sql安全

   comm = new SqlCommand("select * from ADMIN where username=@username and pwd=@pwd", conn);

        comm.Parameters.AddWithValue("username", "user");

 // 这个相当于在sqlserver查询窗口中的 declare  @username varchar(20)  set @username='user'，是这样的吗?


        comm.Parameters.AddWithValue("pwd", "password");

        SqlDataAdapter da = new SqlDataAdapter(comm);

        DataTable table = new DataTable();

        da.Fill(table);

 这个带参数的可以防止sql注入吗?， 是怎么防止的?最好说的通欲具体点，谢谢 --------------------编程问答-------------------- --------------------编程问答-------------------- --------------------编程问答-------------------- 这个相当于在sqlserver查询窗口中的 declare  @username varchar(20)  set @username=user，是这样的吗? ？？

comm.Parameters.AddWithValue("username", "user"); 
是怎么防止sql注入的，是不是第二个参数不能有SQL关键字?

补充：.NET技术 ,  C#