anwser viết tắt:
1) name.Replace ("'", " ''") .... Thay thế bất kỳ ký tự thoát mà cơ sở dữ liệu của bạn có thể có (dấu nháy đơn là phổ biến nhất)
2) nếu bạn đang sử dụng một ngôn ngữ như .net sử dụng tham số truy vấn
sql="Insert into Employees (Firstname, Lastname, City, State, Zip, Phone, Email) Values ('" & frmFirstname.text & "', '" & frmLastName & "', '" & frmCity & "', '" & frmState & "', '" & frmZip & "', '" & frmPhone & "', '" & frmEmail & "')"
trên đây được thay thế bằng bên dưới
Dim MySQL as string = "Insert into NewEmp (fname, LName, Address, City, State, Postalcode, Phone, Email) Values (@Firstname, @LastName, @Address, @City, @State, @Postalcode, @Phone, @Email)"
With cmd.Parameters:
.Add(New SQLParameter("@Firstname", frmFname.text))
.Add(New SQLParameter("@LastName", frmLname.text))
.Add(New SQLParameter("@Address", frmAddress.text))
.Add(New SQLParameter("@City", frmCity.text))
.Add(New SQLParameter("@state", frmState.text))
.Add(New SQLParameter("@Postalcode", frmPostalCode.Text))
.Add(New SQLParameter("@Phone", frmPhone.text))
.Add(New SQLParameter("@email", frmemail.text))
end with
3) người sử dụng lưu trữ procs
4) sử dụng LINQ to SQL, một lần nữa nếu bạn đang sử dụng .net
Cảm ơn! Rất vui khi nhận được đoạn mã hoạt động như một câu trả lời. Tôi đã bị kẹt trên {0} trong văn bản truy vấn. – MikeJ