По принцип трябва да избягвате директното включване на стойности във вашата заявка.
Без съмнение можете поставете кавички около стойността... но не трябва. Вместо това трябва да използвате параметризиран SQL и да поставите стойността в параметъра. По този начин нямате склонно към грешки преобразуване на низове, избягвате атаки с инжектиране на SQL (за параметри на низ) и отделяте кода от данните.
(Като пример за това колко фино разчупено може да бъде това, вашият текущ код ще използва разделителите за дата и час на "текущата култура" - които може да не са / и : . Можете да коригирате това, като посочите CultureInfo.InvariantCulture ... но най-добре е изобщо да не правите преобразуването.)
Потърсете документация за Parameters свойство на всяка Command тип, който използвате (напр. MySqlCommand.Parameters ), което се надяваме да ви даде примери. Възможно е дори да има раздел за обучение в документацията за параметризиран SQL. Например, тази страница
може бъдете това, което търсите.
