sql >> Databáze >  >> RDS >> Sqlserver

Jednoduché a dvojité uvozovky v SQL Server 2005 vložit dotaz

Jedno slovo:NEDĚLEJ TO!

Použijte parametrizované dotazy místo toho - ty jsou bezpečnější (žádná injekce SQL), snáze se s nimi pracuje a také mají lepší výkon!

SqlCommand cmd = new SqlCommand("dbo.sp_cust_reg", _connection);
cmd.CommandType = CommandType.StoredProcedure;

// add parameters and their values
cmd.Parameters.Add("@CustID", SqlDbType.Int).Value = customer.Cust_Id;
cmd.Parameters.Add("@Cust_Name", SqlDbType.VarChar, 100).Value = customer.Cust_Name;
 ..... and so on - define all the parameters!

_connection.Open();
cmd.ExecuteNonQuery();
_connection.Close();


  1. Jak nasadit PostgreSQL pro vysokou dostupnost

  2. Opětovné použití SqlCommand?

  3. Pole poskytovatele v připojovacím řetězci oledb

  4. Extrémně pomalý start EF - 15 minut