Вызов параметров ASP.NET в команде SQL (код позади)

Question

как вызвать параметр asp в команде sql опыт:

cmd.CommandText = "SELECT name FROM server WHERE code="+TextBox1.Text;

это правильно? .

Answer 1

(пытается и не может подавить дрожь)

 cmd.CommandText =  "SELECT name FROM server WHERE code=@code";
 cmd.Parameters.AddWithValue("code", TextBox1.Text);

в противном случае вы просто готовы к внедрению SQL.

НИКОГДА НЕ СОГЛАСОВАТЬ ПОЛЬЗОВАТЕЛЬСКИЙ ВХОД В КОМАНДЫ