在C#中使用SqlParameter來執行SQL查詢是一種推薦的做法，因為它可以幫助你防止SQL注入攻擊，并且使代碼更易于維護。以下是如何在C#中正確使用SqlParameter的步驟：

1. 引入必要的命名空間： 首先，確保你的項目中已經引入了與數據庫操作相關的命名空間。例如，如果你使用的是System.Data.SqlClient，則需要添加以下引用：

using System.Data;
using System.Data.SqlClient;

2. 創建SqlConnection對象： 為了連接到數據庫，你需要創建一個SqlConnection對象。這個對象會保持與數據庫的連接狀態。

string connectionString = "your_connection_string_here";
SqlConnection connection = new SqlConnection(connectionString);

3. 創建SqlCommand對象： SqlCommand對象用于執行SQL命令。你可以將SqlParameter對象添加到這個命令中，以便在執行時傳遞參數值。

string sqlQuery = "SELECT * FROM YourTable WHERE ColumnName = @ParameterName";
SqlCommand command = new SqlCommand(sqlQuery, connection);

4. 添加SqlParameter對象： 使用SqlCommand對象的Parameters屬性來添加SqlParameter對象。你需要為每個參數指定一個名稱和值。

SqlParameter parameter = new SqlParameter("@ParameterName", SqlDbType.VarChar); // 根據需要更改數據類型
parameter.Value = "your_value_here"; // 設置參數的值
command.Parameters.Add(parameter);

5. 執行命令并處理結果： 使用SqlCommand對象的ExecuteReader()或ExecuteScalar()方法來執行命令，并根據需要處理返回的結果。

try
{
    connection.Open();
    SqlDataReader reader = command.ExecuteReader();
    while (reader.Read())
    {
        // 處理每一行數據
    }
    reader.Close();
}
catch (Exception ex)
{
    // 處理異常
}
finally
{
    connection.Close();
}

6. 清理資源： 確保在完成數據庫操作后關閉SqlConnection和SqlDataReader（如果有的話）。這有助于釋放系統資源。

通過遵循以上步驟，你可以在C#中正確使用SqlParameter來執行安全的SQL查詢。