c#前台SelectCommand 的sql语句,如何获取后台变量

我在前台加了一个asp获取数据源

<asp:SqlDataSource ID="SqlDataSource1" runat="server"
ConnectionString="<%$ ConnectionStrings:bookdbConnectionString %>"
SelectCommand="SELECT * FROM [tb_Cart] where UserName='<%=userName %> '"></asp:SqlDataSource>

其中SelectCommand="SELECT * FROM [tb_Cart] where UserName='<%=userName %> '" 中的sql语句 where判断的条件userName是从后台获取的变量,这样写取不出来,应该怎么写?
是在前台asp取后台数据,不是后台取前台

SQLDataSource 有filter expression和FilterParameters
不过这样并不安全，因为归根到底还是拼字符串，会导致SQL注入。新的项目建议用ASP.Net MVC+Entity Framework。