Ocupar una variable en una instruccion SQL

pemr_2002 · #1 (**permalink**) 17/12/2009, 15:00

Tengo el siguiente trozo de codigo que inserta una file en una base de datos, Funciona perfectamente, pero cuando hago el cambio en donde creo la variable "VARIABLE" y quiero utilizarla en la instruccion insert que aparece, el visual studio tira error, ¿que puedo hacer?
Nota: Empleo visual studio 2005 con una base de datos en SQL express

Dim micomando As SqlCommand = New SqlCommand
Dim VARIABLE As String = "PEREZ"
micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values (VARIABLE,'Juan','Andalucia')"
micomando.Connection = conconexion
conconexion.Open()
micomando.ExecuteNonQuery()
conconexion.Close()

Porlachucha · #2 (**permalink**) 17/12/2009, 17:58

la sintaxis es

micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values ('" & VARIABLE & "','Juan','Andalucia')"

PLCH

Peterpay · #3 (**permalink**) 17/12/2009, 18:05

aunque es mejor usar parametros

micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values ('" & VARIABLE & "','Juan','Andalucia')"

por

micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values (@nombre,@apellido,@direccion)";
micomando.Parameters.AddWithValue("@nombre",variab le);

menos errores de caracteres de escape y menos propenso a inyeccion

pemr_2002 · #4 (**permalink**) 17/12/2009, 18:21

Muy, bueno, me sirvio perfecto. gracias

pemr_2002 · #5 (**permalink**) 17/12/2009, 18:22

Cita:

Iniciado por Peterpay

aunque es mejor usar parametros

micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values ('" & VARIABLE & "','Juan','Andalucia')"

por

micomando.CommandText = "insert into tabla (nombre,apellido,direccion) values (@nombre,@apellido,@direccion)";
micomando.Parameters.AddWithValue("@nombre",variab le);

menos errores de caracteres de escape y menos propenso a inyeccion

Muy bueno, me funciono perfecto.