c#代码问题

string strsql = "insert into register (username,password,易做图,picture,IM,information,others,ifisuser) values ('" + TextBox1.Text + "','" + TextBox2.Text + "','" + DropDownList1.Text + "','" + TextBox3.Text + "','" + TextBox4.Text + "','" + TextBox5.Text + "','" + TextBox6.Text + "',1)";

                SQLHelper.SQLHelper.ExecNonQuery(strsql);

using (SqlConnection con = new SqlConnection(condb))

            {

                SqlCommand cmd = new SqlCommand();

                cmd.Connection = con;

                cmd.CommandText = sqlcmd;

                if (paraList != null)

                {

                    cmd.CommandType = CommandType.Text;

                    foreach (SqlParameter para in paraList)

                    { cmd.Parameters.Add(para); }

                }

                con.Open();

                cmd.ExecuteNonQuery();

            }

这段代码用于注册，但数组得到的值一直为零，有什么问题么？ --------------------编程问答-------------------- 如果把跟踪到的SQL放在数据库执行能通过吗？ --------------------编程问答-------------------- 不是这样写的吧，要么直接拼参数值，要么参数化传值，你这写的。。。 --------------------编程问答-------------------- 什么意思。。

引用 1 楼的回复:

如果把跟踪到的SQL放在数据库执行能通过吗？

--------------------编程问答-------------------- 我照书上写的，他说这样安全性高点。那怎么写才能把数据写入数据库呢，不要直接用cmd.ExecuteNonQuery(strsql)

引用 2 楼的回复:

不是这样写的吧，要么直接拼参数值，要么参数化传值，你这写的。。。

补充：.NET技术 ,  C#