在C#中，我们通常使用System.Data.SqlClient命名空间下的SqlCommand和SqlConnection类来与SQL Server数据库进行交互。在这个过程中，使用参数化查询是最佳实践，因为它不仅可以防止SQL注入攻击，还可以提高代码的可读性和可维护性。下面是一个详细的步骤和代码示例：

1、首先，你需要建立一个数据库连接。要实现这一点，你需要创建一个SqlConnection对象，并使用数据库的连接字符串初始化它。这个连接字符串通常包含数据库服务器的位置、数据库名称、以及登陆服务器的用户名和密码。

2、接下来，你需要打开到数据库的连接。你可以使用connection.Open()方法来实现这一点。

3、然后，你可以创建一个SqlCommand对象，将你的SQL查询和所需的参数作为输入。注意，应避免直接将变量插入查询字符串，因为这可能使你的程序暴露于SQL注入攻击。取而代之的是，你应该使用SqlParameter对象来添加参数，然后将其添加到SqlCommand对象的参数集合中。

4、之后，你可以执行这个命令。你可以使用command.executeReader()方法来执行查询并返回一个SqlDataReader对象，这个对象包含查询结果。

5、最后，你需要通过SqlDataReader对象来读取查询结果。你可以使用Read()方法来读取每一行数据。

所以，完整的代码示例可能如下所示：

string connectionString = "Data Source=serverName;Initial Catalog=databaseName;User ID=username;Password=password";using (SqlConnection connection = new SqlConnection(connectionString)){    connection.Open();
    string sql = "select * from table where column = @param";    using (SqlCommand command = new SqlCommand(sql, connection))    {        command.Parameters.AddWithValue("@param", yourVariable);
        using (SqlDataReader reader = command.executeReader())        {            while (reader.Read())            {                Console.WriteLine(reader["columnName"]);            }        }    }}