基本的に、クエリに直接値を含めることは避けてください。
間違いなくできた 値を引用符で囲みます...しかし、そうすべきではありません。代わりに、パラメーター化されたSQLを使用し、その値をパラメーターに入れる必要があります。そうすることで、エラーが発生しやすい文字列変換を行わず、SQLインジェクション攻撃(文字列パラメーターの場合)を回避し、コードをデータから分離します。
(これがいかに微妙に壊れているかの例として、現在のコードは「現在のカルチャ」の日付と時刻の区切り文字を使用します。これは/
ではない場合があります。 および:
。これは、CultureInfo.InvariantCulture
を指定することで修正できます。 ...ただし、変換はまったく行わないことをお勧めします。)
Parameters
のドキュメントを探す Command
のプロパティ 使用しているタイプ(例:MySqlCommand.Parameters
)うまくいけば例を与えるでしょう。パラメータ化されたSQLのドキュメントにチュートリアルセクションがある場合もあります。たとえば、このページ
かもしれません あなたが求めているものになりましょう。