带包含的Linq查询仅适用于IQueryable是在外部变量中

的。请注意，由于 SQL 是明文传输的，因此使用 SQL 注入进行攻击相对容易。使用参数化查询可以避免 SQL 注入攻击。

参数化查询是一种编写 SQL 查询的方法，它将 SQL 语句和参数分开，并且使用参数值来代替 SQL 语句中的变量。在参数化查询中，SQL 语句中的变量被替换为参数，并且在查询执行时使用参数值来代替变量。参数化查询可以防止 SQL 注入攻击，因为参数值被硬编码到 SQL 语句中，并且不需要在查询字符串中手动插入变量。

在 C# 中，可以使用 System.Linq.Dynamic 库来执行参数化查询。使用 System.Linq.Dynamic 库可以方便地使用动态参数来代替静态查询中的变量。例如，以下代码演示了如何使用 System.Linq.Dynamic 库来执行参数化查询：

IQueryable<Person> query = context.People.Where("Age > @age", new { age = 18 });

在上面的代码中，IQueryable<Person> 表示查询的对象类型，Where 方法用于添加查询条件，@age 是参数名称，new { age = 18 } 是参数值。在查询时，@age 参数被替换为 new { age = 18 } 中的 age 属性值。

除了使用 System.Linq.Dynamic 库来执行参数化查询外，还可以使用 LINQ 表达式来执行参数化查询。使用 LINQ 表达式需要使用 C# 的 System.Linq 命名空间。例如，以下代码演示了如何使用 LINQ 表达式来执行参数化查询：

IQueryable<Person> query = context.People.Where(p => p.Age > 18);

在上面的代码中，IQueryable<Person> 表示查询的对象类型，Where 方法用于添加查询条件，p => p.Age > 18 是 LINQ 表达式，表示查询年龄大于 18 岁的所有人员。

总的来说，使用 LINQ 表达式和 System.Linq.Dynamic 库都可以方便地执行参数化查询，但是使用 System.Linq.Dynamic 库更加灵活，可以动态地添加查询条件，而使用 LINQ 表达式则需要在编译时确定查询条件。