
17/12/2009, 18:05
|
 | Colaborador | | Fecha de Ingreso: septiembre-2007 Ubicación: San Francisco, United States
Mensajes: 3.858
Antigüedad: 17 años, 6 meses Puntos: 87 | |
Respuesta: Ocupar una variable en una instruccion SQL aunque es mejor usar parametros
micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values ('" & VARIABLE & "','Juan','Andalucia')"
por
micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values (@nombre,@apellido,@direccion)";
micomando.Parameters.AddWithValue("@nombre",variab le);
menos errores de caracteres de escape y menos propenso a inyeccion |