Можете просто да направите това
query = "Select * From Table Where Title = " + someone;
Но това е лошо и ви отваря към SQL инжектиране
Трябва просто да използвате параметризирана заявка
Нещо подобно трябва да ви помогне да започнете
using (var cn = new SqlClient.SqlConnection(yourConnectionString))
using (var cmd = new SqlClient.SqlCommand())
{
cn.Open();
cmd.Connection = cn;
cmd.CommandType = CommandType.Text;
cmd.CommandText = "Select * From Table Where Title = @Title";
cmd.Parameters.Add("@Title", someone);
}
От отговора на Джон Скийт, тъй като неговият беше по-пълен от моя
Вижте документите за SqlCommand.Parameters за повече информация.
По принцип не трябва да вграждате вашите стойности в самия SQL поради различни причини:
- Не е елегантно да се смесват код и данни
- Отваря ви за атаки чрез SQL инжектиране, освен ако не сте много внимателни при избягването
- Трябва да се тревожите за форматиране и подробности за i18n за неща като числа, дати и часове и т.н.
- Когато заявката остава същата, като се променят само стойностите, оптимизаторът има по-малко работа - той може да търси директно предишната оптимизирана заявка, тъй като тя ще бъде идеално съвпадаща с SQL.
