V zásadě byste se měli vyhnout přímému zahrnutí hodnot do dotazu.
Nepochybně můžete dejte kolem hodnoty uvozovky... ale neměli byste. Místo toho byste měli použít parametrizované SQL a zadat hodnotu do parametru. Tímto způsobem nedochází k převodu řetězce náchylného k chybám, vyhnete se útokům SQL injection (pro parametry řetězce) a oddělíte kód od dat.
(Jako příklad toho, jak jemně to může být narušeno, váš aktuální kód použije oddělovače data a času "aktuální kultury" - což nemusí být /
a :
. Můžete to opravit zadáním CultureInfo.InvariantCulture
... ale je nejlepší převod neprovádět vůbec.)
Vyhledejte dokumentaci Parameters
vlastnost na jakémkoli Command
typ, který používáte (např. MySqlCommand.Parameters
), který vám snad poskytne příklady. V dokumentaci pro parametrizované SQL může být dokonce část s výukovým programem. Například tuto stránku
může buďte tím, po čem toužíte.