OracleのC＃パラメーター化クエリ-深刻で危険なバグ！

これは絶対的な遠吠えです。私は自分の目を信じることができず、C＃の真のバグである場合、これを発見する前に誰も信じられなかったので、他の開発者コミュニティに私が間違っていることを教えてもらいます。この質問には、「DOH！」と言うことが含まれると確信しています。手のひらで頭を激しく叩きましたが、とにかくここに行きます...

テストのために、テーブルを作成しましたTest_1、次のようなスクリプトを使用：

CREATE TABLE TEST_1 (
  COLUMN1 NUMBER(12) NOT NULL,
  COLUMN2 VARCHAR2(20),
  COLUMN3 NUMBER(12))
TABLESPACE USERS
STORAGE (
  INITIAL 64K
  MAXEXTENTS UNLIMITED
)
LOGGING;

ここで、次のコードを実行します。

var conn = new OracleConnection("connectionblahblah");
conn.Open();
var cmd = conn.CreateCommand();
cmd.CommandText = 
  "insert into Test_1(Column1, Column2, Column3) " +
  "values(:Column1, :Column2, :Column3)";
var p = cmd.Parameters;
p.Add("Column1", 1);
p.Add("Column3", null);
p.Add("Column2", "record 1");
cmd.ExecuteNonQuery();

うわあ！ ORA-01722エラーが発生します-「無効な番号」です！しかし、何が問題なのですか？ Column1は数値であり、値は1なので、問題ありません。 Column2は文字列であり、Column3はnull許容列であるため、問題が発生することはありません。

今これのために座ってください...ここでの問題はそれですColumn3およびColumn2は、OracleParameterCollectionに追加された順序で置き換えられます。それらを切り替えて、プレスト！できます！

もちろん、これは次の明らかな実験につながります...次のようなパラメータを追加するためにコードのブロックを変更しましょう：

p.Add("Foo", 1);
p.Add("Bar", "record 1");
p.Add("hahahahahahaha", null);

あなたはそれがうまくいくと思いますか？よく推測してください-それします！

私はここに座って絶対にびっくりしました。私は自分が見ているものを信じることができず、同様に、私の前に誰もこの行動を発見していないと信じることができません（Googleの適切な使用方法がわからない場合を除く）。

これは単なる煩わしさではなく、非常に危険です。同じデータ型の2つの列を転置するとどうなりますか？エラーも発生しませんでした。間違ったデータを間違った列に挿入しただけで、賢明ではありませんでした。

パラメータを間違った順序で追加しないように注意する以外に、回避策のアイデアはありますか？