Во-первых, вы пропускаете одиночную кавычку '
в своем запросе, поэтому ваш параметр не будет строкой.
так что это может быть похоже на
"SELECT ID FROM Persons WHERE FirstName = '" + txtBoxFirst.Text.ToString() + "' AND LastName = '" + txtBoxLast.Text.ToString() + "'"
Но есть большая проблема, чем SQL-инъекция .
Я бы посоветовал вам использовать параметры вместо подключенной строки оператора SQL.
убедитесь, что размер типа данных вашего параметра соответствует размеру схемы таблицы.
string sqlQuery = "SELECT ID FROM Persons WHERE FirstName = @FirstName AND LastName = @LastName";
using (SqlConnection sqlConnection = new SqlConnection(connectionString))
using (SqlCommand command = new SqlCommand(sqlQuery, connection))
{
command.Parameters.Add("@FirstName", SqlDbType.VarChar,100).Value = txtBoxFirst.Text;
command.Parameters.Add("@LastName", SqlDbType.VarChar, 100).Value = txtBoxLast.Text;
SqlDataReader read = dataAdapter.SelectCommand.ExecuteReader();
while (read.Read())
{
pID = (Int32.Parse(read["ID"].ToString()));
}
}