आपको हमेशा . करना चाहिए पैरामीट्रिज्ड . का उपयोग करें query - यह SQL इंजेक्शन हमलों को रोकता है, प्रदर्शन के लिए बेहतर है, और डेटाबेस में डालने के लिए डेटा के अनावश्यक रूपांतरण से बचाता है।
कुछ इस तरह से प्रयास करें:
// define your INSERT query as string *WITH PARAMETERS*
string insertStmt = "INSERT into survey_Request1(sur_no, sur_custname, sur_address, sur_emp, sur_date, sur_time, Sur_status) VALUES(@Surname, @SurCustName, @SurAddress, @SurEmp, @SurDate, @SurTime, @SurStatus)";
// put your connection and command into "using" blocks
using(SqlConnection conn = new SqlConnection("-your-connection-string-here-"))
using(SqlCommand cmd = new SqlCommand(insertStmt, conn))
{
// define parameters and supply values
cmd.Parameters.AddWithValue("@Surname", textBox9.Text.Trim());
cmd.Parameters.AddWithValue("@SurCustName", textBox8.Text.Trim());
cmd.Parameters.AddWithValue("@SurAddress", textBox5.Text.Trim());
cmd.Parameters.AddWithValue("@SurEmp", textBox1.Text.Trim());
cmd.Parameters.AddWithValue("@SurDate", dateTimePicker2.Value.Date);
cmd.Parameters.AddWithValue("@SurTime", dateTimePicker2.Value.Time);
cmd.Parameters.AddWithValue("@SurStatus", "Active");
// open connection, execute query, close connection again
conn.Open();
int rowsAffected = cmd.ExecuteNonQuery();
conn.Close();
}
यह भी सलाह दी जाएगी कि अपने टेक्स्टबॉक्स को नाम दें अधिक अभिव्यंजक नामों के साथ। textbox9 वास्तव में मुझे यह नहीं बताता कि वह कौन सा टेक्स्टबॉक्स है - textboxSurname बहुत . होगा बेहतर!
