[求助]关于数据安全

都说合成SQL语句是不安全的，所以现在用command.Parameters.Add合成SQL语句，可现在SQL语句我想在业务层合成好了传给数据层，应该怎么办，用string sqlstr="select * from userinfo where userid="+变量+" "这样的方法合成SQL语句，把sqlstr传给数据层执行，这么做安全吗？