Về cơ bản, bạn nên tránh đưa trực tiếp các giá trị vào truy vấn của mình.
Không nghi ngờ gì nữa, bạn có thể đặt dấu ngoặc kép xung quanh giá trị ... nhưng bạn không nên. Thay vào đó, bạn nên sử dụng SQL được tham số hóa và đặt giá trị vào tham số. Bằng cách đó, bạn không phải chuyển đổi chuỗi dễ xảy ra lỗi, bạn tránh được các cuộc tấn công chèn SQL (đối với các tham số chuỗi) và bạn tách mã khỏi dữ liệu.
(Như một ví dụ về mức độ phức tạp của điều này, mã hiện tại của bạn sẽ sử dụng dấu phân tách ngày và giờ của "nền văn hóa hiện tại" - có thể không phải là / và : . Bạn có thể sửa lỗi này bằng cách chỉ định CultureInfo.InvariantCulture ... nhưng tốt nhất là không nên thực hiện chuyển đổi.)
Tìm tài liệu về Parameters thuộc tính trên bất kỳ Command nào loại bạn đang sử dụng (ví dụ:MySqlCommand.Parameters ) hy vọng sẽ cung cấp cho bạn ví dụ. Thậm chí có thể có một phần hướng dẫn trong tài liệu cho SQL được tham số hóa. Ví dụ: trang này
may là những gì bạn đang theo đuổi.
