C# Oracle并不是所有变量都已绑定

在C#中，Oracle数据库其实不需要将所有的变量都绑定。当履行SQL语句时，可使用参数化查询来绑定特定的变量，以避免SQL注入攻击，并提高性能。

使用参数化查询，可以将变量的值作为参数传递给SQL语句，而不是直接将变量的值嵌入到SQL语句中。这样可以确保输入的值被正确地转义和处理，避免潜伏的安全问题。

以下是使用参数化查询履行SQL语句的示例：

using (OracleConnection connection = new OracleConnection(connectionString))
{
    connection.Open();
    
    string sql = "SELECT * FROM Customers WHERE CustomerId = :customerId";
    
    using (OracleCommand command = new OracleCommand(sql, connection))
    {
        command.Parameters.Add(":customerId", OracleDbType.Int32).Value = customerId;
        
        using (OracleDataReader reader = command.ExecuteReader())
        {
            while (reader.Read())
            {
                // 处理查询结果
            }
        }
    }
}

在上面的示例中，使用了参数化查询来查询具有特定CustomerId的客户。通过将变量的值作为参数传递给查询，可以确保查询是安全和有效的。

需要注意的是，参数的名称（例如：“:customerId”）在查询字符串中一定要与参数集合中的名称一致。

通过使用参数化查询，可以减少SQL注入攻击的风险，并允许在履行查询之前捕获和处理异常。另外，参数化查询还可以提高性能，由于数据库可以缓存编译的查询计划，并在屡次履行相同查询时重用它们。