سلام
من میخواهم در برنامه #C در قسمت 'WHERE name='Ali' به جای ALI از اسمی
استفاده کنم که کاربر اون رو وارد textbox کرده واگر مطالب بیشتر یدر این مورد
هست به بنده بگین ممنون میشم
کمکم کنید

"WHERE name=N'" + TextBox1.txt+"'"

به نظر من این بد ترین حالته....
برای جلوگیری از اینجکشن باید پارامتر پاس بدی به یک Sp در SQL

منم با نظر دوستمون موافقم . اين حالت يا روش درستي نيست .
مي توني از اين روش استفاده كني :


string commtext = "INSERT INTO personal_info(personal_id) VALUES(@personal_id)";
OleDbCommand command = new OleDbCommand(commtext, con);
command.Parameters.AddWithValue("@personal_id", textBox1.Text.Trim());