Ventajas/incovenientes uso parametros en ASP.NET con SQLSERVER

Se puede poner de 2 formas:

1º forma (sin usar parametros):
INSERT INTO tabla1(ID,Proveedor,Tipo) VALUES (15,'IBM',35)

2ª forma (con uso de parametros):

Dim MiSQL As String = "INSERT INTO tabla1(ID,Proveedor,Tipo) VALUES (@IDCentro,@Proveedor,@Tipo)"
................
cm.Parameters.Add(New SqlParameter("@IDCentro", SqlDbType.Int, 4)).Value = 15
cm.Parameters.Add(New SqlParameter("@Proveedor", SqlDbType.NVarChar, 50)).Value = "IBM"
cm.Parameters.Add(New SqlParameter("@Tipo", SqlDbType.TinyInt, 1)).Value = 35
.....

La 1ª forma tiene mucho menos código y además permitiría el uso de una clase común, par todas las inserciones que se hagan en la base de datos. Pero que incovenientes tiene, pues veo por ahi, que poca gente lo hace de la forma 1ª.

La forma en que yo trabajo es con parametros por que los datos de los campos de las tablas las menejo por parametros y por medio de una clase les asigno la identidad a cada campo que se le va asignar y me parece que es la mejor forma de trabajar ya que es de uso profesional

Hay algun ejemplo de clase para trabajar con parametros en SQLServer?

Sin parametros me parece facil.
En la clase:
----------------------------------------------------------
public bool InsertFields()
{
string strCon = this.GetStringConection().ConnectionString;
System.Data.SqlClient.SqlConnection oCon = new System.Data.SqlClient.SqlConnection(strCon);
SqlCommand myCommand = new SqlCommand(this.INSERT_COMMAND.CommandText, this.GetStringConection());

try
{
myCommand.Connection.Open();
myCommand.ExecuteNonQuery();
return true;
}
catch(System.Exception ex)
{
this.ERROR = ex.ToString();
return false;
}
finally
{
oCon.Close();
}
}


en el fichero aspx.cs
--------------------------------------------------
private void cmdInsertar_Click(object sender, System.EventArgs e)
{
System.Data.SqlClient.SqlCommand insert =
new System.Data.SqlClient.SqlCommand("INSERT INTO Personas(Nombre, Direccion, Telefono, Sexo, Escolaridad) VALUES('"
+ this.txtNombre.Text + "','" + this.txtDireccion.Text + "','" + this.txtTel.Text
+ "'," + this.rdbSexo.SelectedValue.ToString() + "," + this.cmbEscolaridad.SelectedValue.ToString() + ")");
oCon.INSERT_COMMAND = insert;
bool status = oCon.InsertFields();
}

ALGUIEN TIENE IDEA DE COMO CON PARAMETROS???. TENGO QUE HACER CONTINUAMENTE INSERCCIONES,.... CUALQUIERA COSA SERÍA DE AYUDA.

Sabeis si hay forma de acceder a la cadena con los parámetros sustituidos ya??...Es decir la cadena Insert into....con los valores de las variables sustituidas, vamos la sentencia SQL que se manda a la base de datos...es que el CommandText pone las variables...sin sustituir los valores...un saludo.

yo lo utilizo de esta forma
hago el insert primero
----------------------------------------------------------------------
str_SQL = "INSERT INTO dbo.Descripcion_Procesos_Equipos VALUES";
str_SQL += "(@IDProceso, @IdEquipo, @OrdenEquipo, @TiempoProceso, @TiempoMontaje, @TiempoDesmontaje, @PorcentajeCantidad )";
------------------------------------------------------------------
sele asigna el query al comando
cmd_comando.CommandText = str_SQL;
------------------------------------------------------------------
y por medio de unas variables que tengo en la clase de identidad le ingreso al parametro el valor

pr_parametro = fac.CreateParameter();
pr_parametro.DbType = DbType.String;
pr_parametro.ParameterName = "@IDProceso";
//pr_parametro.Value = str_mat[0];
pr_parametro.Value = obj_cls_0217_Identidad.str_IDProceso;
cmd_comando.Parameters.Add(pr_parametro);

espero y les sirva de algo

salud2

Dentro de mi practica, y utilizando SQL SERVER, se recomienda utilizar procedimientos almacenados, esto debido a que la compilacion de la consulta la realiza el motor de la BD, y las modificaciones a la consulta es mas facil realizarlas por el lado del SERVIDOR.

Dim ingresarpr As SqlClient.SqlCommand = New SqlClient.SqlCommand()
With ingresarpr
.CommandType = CommandType.StoredProcedure
.CommandText = "NOMBRE_PROCEDIMIENTO_ALMACENADO"
.Parameters.Add("@PARAMETRO1", text1.txt)
.Parameters.Add("@PARAMETRO2", text2.txt)
.Connection = "string_conexion base de datos SQL Server"
End With