Basicamente, você deve evitar incluir valores diretamente em sua consulta.

Sem dúvida, você poderia colocar aspas em torno do valor... mas você não deveria. Em vez disso, você deve usar SQL parametrizado e colocar o valor no parâmetro. Dessa forma, você não faz uma conversão de string propensa a erros, evita ataques de injeção de SQL (para parâmetros de string) e separa o código dos dados.

(Como exemplo de como isso pode ser sutilmente quebrado, seu código atual usará os separadores de data e hora da "cultura atual" - que podem não ser / e : . Você pode corrigir isso especificando CultureInfo.InvariantCulture ... mas é melhor não fazer a conversão.)

Procure a documentação de um Parameters propriedade em qualquer Command tipo que você está usando (por exemplo, MySqlCommand.Parameters ) que esperamos dar-lhe exemplos. Pode até haver uma seção de tutorial na documentação para SQL parametrizado. Por exemplo, esta página pode seja o que você procura.