Удаление записей из таблицы, это правильно?

Question

Я хочу удалить некоторую запись из таблицы, запустив этот запрос в C #, Правильно это или нет,

Пожалуйста, помогите мне

SqlCommand cmdRe = new SqlCommand("insert into msisdn_master SELECT *  from tblDeactive
where msisdn in (" + str_MSISDN + ")", cn);
SqlCommand cmdRed = new SqlCommand("delete from tblDeactive where msisdn in ("+str_MSISDN+")", cn);
cmdRe.CommandType = CommandType.Text;
cmdRed.CommandType = CommandType.Text;

примечание: str_MSISDN - это StringBuilder, в котором хранится число, вставленное в TextField.

Answer 1

Вы должны использовать правильные параметры SQL. НИКОГДА не используйте построение строк, так как это оставляет вас открытыми для инъекционных атак.

Прочтите это руководство, чтобы узнать, как добавить параметры в SqlCommands .