[c#, WPF, SQLite] Dodawanie danych do bazy

Question

Witam. Ostatnio zacząłem się bawić SQLite w c# (WPF). Czego się dowiedziałem to to, że zapytania w SQLite są takie same jak w MySQL.

Problem pojawił się, gdy chciałem dodać dane do tabeli takim sposobem:

INSERT INTO nazwa_tabeli (nazwa_pola1, nazwa_pola2, nazwa_pola3) VALUES (wartosc_pola1, wartosc_pola2, wartosc_pola3)

Jednak to nic nie daje... (Odczyt i zapis działa prawidłowo)
Mój kod wygląda tak:

//Wcześniej zdefiniowane wszystkie zmienne
db_querry = "INSERT INTO Users (Id,Name,Age) VALUES (" + id + "," + name + "," + age + ")"; //Zapytanie
db_command.ExecuteNonQuery(); //wykonanie zapytania

 

Answer 1

Możliwe, że w przypadku wartości "Name' (string), wymagane są znaki ' ', np.

db_querry = "INSERT INTO Users (Id,Name,Age) VALUES (" + id + ",'" + name + "'," + age + ")";

Jednak takie podejście nie jest bezpieczne ze względu na ryzyko sqlinjection. Sugeruję dodać parametry w taki sposób:

db_query.Parameters.AddWithValue("@id", id);
db_query.Parameters.AddWithValue("@name", name);
db_query.Parameters.AddWithValue("@age", age);

db_querry = "INSERT INTO Users (Id,Name,Age) VALUES (@id, @name, @age)";