我遵循的一个简单的SQL问题:制作与文本字符串的SQL INSERT语句包含“字符
INSERT INTO Table1
VALUES (value1, value2, value3…)
这一直很好,到目前为止的语法。但现在我有一些包含普通英文文本的值,比如“我要回家”。 '字符在C#中废除了SQL命令。我写了下面的:
command.CommandText = "INSERT INTO Bio VALUES ('" + name + "','"I'm going home" + "');
评估为
INSERT INTO Bio VALUES ('Peter','I'm going home')
这显然是行不通的。我如何确保特殊字符不会破坏SQL语句?
除此之外,参数化查询更有可能从优化中受益 - 预编译,服务器端缓存等。 –
谢谢。这是一个明显的答案。 –