Sé que puedo usar los parámetros, pero ¿cuál es la forma correcta de evitar secuencias de cadenas? La consulta podría ser así:Escapar valores en consultas SQL (C# con conector SQL)
"INSERT INTO records (ReferenceID,Name,Note,Author) VALUES ('" + ID+ "','" + addlevel.textBox1.Text + "','"+addlevel.textBox2_note.Text+ "','"+Program.Username+"')";
sólo soy curioso, sólo quieren saber :)
EDIT: Pero ¿qué pasa con eso? "CREATE TABLE '+ cadena' .... parámetros no se pueden utilizar aquí
Al definir un identificador (por ejemplo, un nombre de tabla), no se puede escapar. Puedes poner marcadores en el identificador para permitir algunos caracteres más (por ejemplo, espacios), pero solo tienes que asegurarte de que la cadena no contenga nada dañino. – Guffa