По принцип трябва да избягвате директното включване на стойности във вашата заявка.
Без съмнение можете поставете кавички около стойността... но не трябва. Вместо това трябва да използвате параметризиран SQL и да поставите стойността в параметъра. По този начин нямате склонно към грешки преобразуване на низове, избягвате атаки с инжектиране на SQL (за параметри на низ) и отделяте кода от данните.
(Като пример за това колко фино разчупено може да бъде това, вашият текущ код ще използва разделителите за дата и час на "текущата култура" - които може да не са /
и :
. Можете да коригирате това, като посочите CultureInfo.InvariantCulture
... но най-добре е изобщо да не правите преобразуването.)
Потърсете документация за Parameters
свойство на всяка Command
тип, който използвате (напр. MySqlCommand.Parameters
), което се надяваме да ви даде примери. Възможно е дори да има раздел за обучение в документацията за параметризиран SQL. Например, тази страница
може бъдете това, което търсите.