Dodawanie obiektu klasy do bazy

0

Jesli chce zrobić dodanie obiektu klasy w jaki sposob skonstruować zapytanie sql? przyklad kodu

 Car st = new Car(Model, Year);

            poloczenie.Open();
            if (poloczenie.State == ConnectionState.Open)
            {

                Model= TextBox1.Text;
                Year= TextBox2.Text;

                zapytanie = string.Format("INSERT INTO casr(Model, Years) VALUES i co tutaj podać");

                komenda = new SQLiteCommand(zapytanie, poloczenie);
                komenda.ExecuteNonQuery();
                MessageBox.Show("Dodałeś element", "Informacja", MessageBoxButtons.OK, MessageBoxIcon.Information);

            }
3

Wersja brutalna:

zapytanie = string.Format("INSERT INTO casr(Model, Years) VALUES ('{0}', '{1}')", Model, Year);

Wersja poprawniejsza - wyrzuć swój sposób i zrób nieco inaczej. Powinno się używać parametrów komend w celu zapobiegania atakom SQL Injection i problemom z formatowaniem danych dla potrzeb bazy - https://stackoverflow.com/a/20017707:

var command = poleczenie.CreateCommand();
command.CommandText = "INSERT INTO casr(Model, Years) VALUES (@Model, @Year)";
command.Parameters.Add(new SQLiteParameter("@Model", Model));
command.Parameters.Add(new SQLiteParameter("@Year", Year));

command.ExecuteNonQuery();

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0