Pada dasarnya di mana pun Anda menggabungkan string untuk membuat pernyataan SQL Anda, terutama yang berasal dari input pengguna, adalah rentan.
Alih-alih melakukan ini, gunakan parameter SQL, yang dapat ditambahkan ke properti Parameter dari perintah SQL Anda (SQLcmd di sini).
Saya akan menunjukkan contoh dengan salah satu parameter Anda - ubah teks SQLCommand Anda menjadi:
INSERT INTO dbo.Patients(pIDNo, ...)
VALUES(@pIDNo, ...)
Dimana @pIDNo adalah "placeholder" dalam string untuk nilai parameter, yang dikirim secara terpisah dari perintah di Koleksi SQLParameters
.
Kemudian Anda dapat menambahkan parameter dengan nama yang sama dengan "placeholder" ini, dan nilainya (ini akan menurunkan tipe dari nilai yang diberikan untuk Anda).
Ini contoh dari sebelumnya:
SQLcmd.Parameters.AddWithValue("@pIDNo", LabelPNumber.Text)
