मूल रूप से आपको सीधे अपनी क्वेरी में मान शामिल करने से बचना चाहिए।
निःसंदेह आप कर सकते थे मूल्य के आसपास उद्धरण डालें... लेकिन आपको ऐसा नहीं करना चाहिए। इसके बजाय, आपको paramterized SQL का उपयोग करना चाहिए, और मान को पैरामीटर में रखना चाहिए। इस तरह आप एक त्रुटि-प्रवण स्ट्रिंग रूपांतरण नहीं करते हैं, आप SQL इंजेक्शन हमलों (स्ट्रिंग पैरामीटर के लिए) से बचते हैं, और आप डेटा से कोड अलग करते हैं।
(यह कितना सूक्ष्म रूप से टूटा हुआ हो सकता है, इसका एक उदाहरण के रूप में, आपका वर्तमान कोड "वर्तमान संस्कृति" के दिनांक और समय विभाजकों का उपयोग करेगा - जो /
नहीं हो सकता है और :
. आप CultureInfo.InvariantCulture
. निर्दिष्ट करके इसे ठीक कर सकते हैं ... लेकिन यह सबसे अच्छा है कि रूपांतरण बिल्कुल न करें।)
Parameters
के दस्तावेज़ीकरण की तलाश करें जो कुछ भी Command
. पर संपत्ति आप जिस प्रकार का उपयोग कर रहे हैं (उदा. MySqlCommand.Parameters
) जो उम्मीद है कि आपको उदाहरण देगा। पैरामीटरयुक्त SQL के लिए प्रलेखन में एक ट्यूटोरियल अनुभाग भी हो सकता है। उदाहरण के लिए, यह पृष्ठ
हो सकता है वही बनो जो तुम चाहते हो।