Pada dasarnya Anda harus menghindari memasukkan nilai dalam kueri Anda secara langsung.
Tidak diragukan lagi Anda bisa beri tanda kutip di sekitar nilai ... tetapi Anda seharusnya tidak melakukannya. Sebagai gantinya, Anda harus menggunakan SQL paramterized, dan memasukkan nilai ke dalam parameter. Dengan begitu Anda tidak melakukan konversi string yang rawan kesalahan, Anda menghindari serangan injeksi SQL (untuk parameter string), dan Anda memisahkan kode dari data.
(Sebagai contoh betapa rusaknya hal ini, kode Anda saat ini akan menggunakan pemisah tanggal dan waktu "budaya saat ini" - yang mungkin bukan / dan : . Anda dapat memperbaikinya dengan menentukan CultureInfo.InvariantCulture ... tetapi sebaiknya tidak melakukan konversi sama sekali.)
Cari dokumentasi Parameters properti pada Command whatever apa pun ketik yang Anda gunakan (mis. MySqlCommand.Parameters ) yang mudah-mudahan akan memberi Anda contoh. Bahkan mungkin ada bagian tutorial dalam dokumentasi untuk SQL berparameter. Misalnya, halaman ini
mungkin jadilah yang Anda cari.
