не может выполнить SQLCommand

Question

Привет, ребята, я получил этот код

cmd = new SqlCommand(); 
cmd.Connection = baglanti; 

cmd.CommandText = "(musteriadi,musterisoyadi,gsm,email,sirketadi,Adres,Notlar) VALUES('" + txtMusteriAdi.Text.Trim() + "','" + txtMusteriSoyadi.Text.Trim() + "','" + txtGsm.Text.Trim() + "','" +txtEmail.Text.Trim() + "','" +txtSirketAdi.Text.Trim() + "','" +txtAdres.Text.Trim() + "','" +txtNotlar.Text.Trim() +"');"; 
baglanti.Open(); 
cmd.ExecuteNonQuery(); 

baglanti.Close(); 

Я определил ЦМД как public SqlCommmand и каждый раз, когда код пришел к cmd.ExecuteNonQuery() он падает, чтобы поймать то, что я могу сделать ,

Answer 1

Потому что вы забудете INSERT INTO часть вашего заявления. Подобно;

INSERT INTO tableName(musteriadi,musterisoyadi,gsm,email,sirketadi,Adres,Notlar) 

Но гораздо более важно, вы должны всегда использование parameterized queries. Этот тип конкатенаций строк открыт для атак SQL Injection.

Также используйте using statement, чтобы автоматически отключить ваше соединение и команду вместо вызова Close метод вручную.

using(var baglanti = new SqlConnnection(yourConnectionString)) 
using(var cmd = baglanti.CreateCommand()) 
{ 
    cmd.CommandText = @"INSERT INTO tableName(musteriadi,musterisoyadi,gsm,email,sirketadi,Adres,Notlar) 
         VALUES(@ad, @soyad, @gsm, @email, @sirket, @adres, @notlar)"; 
    // Add your parameters values with Add method considering their types and size. 
    baglanti.Open(); 
    cmd.ExecuteNonQuery(); 
}