Mysql
 sql >> Base de Dados >  >> RDS >> Mysql

Como no VB.net podemos codificar string para SQL


Acho que não, pois acho que o único caso em que algo assim seria relevante é se você estivesse fazendo comandos SQL embutidos sem parâmetros.

Isso tem um risco de SQL Injection , e, portanto, você deve criar comandos como este:
Dim cmd As New SqlCommand("UPDATE [TableA] SET [email protected] WHERE [email protected]", Conn)
cmd.Parameters.Add("@ColumnA", SqlDbType.NVarChar).Value = txtColumnA.Text
cmd.Parameters.Add("@ID", SqlDbType.Int).Value = ID
cmd.ExecuteNonQuery()