Mejorar Sentencia de Insert

Highlander · #1 (**permalink**) 13/04/2010, 11:50

Hola esta es la manera que estoy insertando con visual net y sql server compact pero me parece poco ordenada, hay alguna manera mejor?

Dim sql As String = "INSERT INTO Prueba ([Nombre], [Apellido]) VALUES('" & lsNombreDueño & "','" & lsApellidoDueño & "')"

Cualquier sugerencia se agradece.

vrenzo · #2 (**permalink**) 13/04/2010, 13:22

Hola...

La sintaxis es correcta es teoria... no veo por que quieres hacerlo de manera "ordenarla"... lo digo en el sentido de que la sintaxis es la sintaxis... si no la respetas ... no funciona la instrucción...

ms-help://MS.SQLCC.v9/MS.SQLSVR.v9.es/udb9/html/717bcc19-9f86-4dcf-82cd-bc65a18fac6a.htm

INSERT [INTO] table_or_view [(column_list)] data_values

Saludos.

gedarufi · #3 (**permalink**) 13/04/2010, 14:10

Puedes usar parametros para mejorar la forma en la que le pasas la información al comando, ademas asi evitas la inyección de SQL.

Saludos

Highlander · #4 (**permalink**) 14/04/2010, 23:42

Parametros? tienes algun ejemplo, saludos.

gedarufi · #5 (**permalink**) 15/04/2010, 15:47

Mirate este ejemplo y me comentas.

http://msdn.microsoft.com/es-es/libr...er(VS.80).aspx

Saludos

Phillip · #6 (**permalink**) 15/04/2010, 16:35

Este ejemplo hace un insert utilzando parametros. Este bloque de codigo pertenece al blog de Leandro Tuttini:

http://ltuttini.blogspot.com/search/label/VB.NET

Código PHP:

  
Private  Function Insert(nombre As String, direccion As String, fechaNacimiento As DateTime) As Integer


      Dim sql As String = "INSERT INTO Contactos (NombreCompleto" & _
                              ",Direccion" & _
                               ",FechaNacimiento)" & _
                               "VALUES (@Nombre, " & _
                               "@Direccion, " & _
                             "@FechaNacimiento)" & _
                         "SELECT SCOPE_IDENTITY()"

 Using conn As New SqlConnection(ConfigurationManager.ConnectionStrings("default").ToString())

  Dim command As New SqlCommand(sql, conn)
  command.Parameters.AddWithValue("Nombre", nombre)
  command.Parameters.AddWithValue("Direccion", direccion)
  command.Parameters.AddWithValue("FechaNacimiento", fechaNacimiento)
  conn.Open()

  Return Convert.ToInt32(command.ExecuteScalar())
End Using
End Function

Saludos.

Highlander · #7 (**permalink**) 15/04/2010, 19:54

Bien buenos los ejemplos ya entendi como se usa, solo que es realmente una ventaja ese tipo de insert si estoy trabajando con winforms o es solo recomendable para webforms?

Saludos.

gnzsoloyo · #8 (**permalink**) 15/04/2010, 20:01

Es recomendable para cualquier interacción con la base de datos.