دوستان من با این روش اطلاعات و ذخیره میکنم ایا مشکلی داره؟
cmd.CommandText = "Insert Into [Contact] ([Time], [Name], [Email], [Subject], [Contact], [Code]) Values (N'" + DateandTime.ToString() + "' , N'" + txtName.Text + "' , N'" + txtEmail.Text + "' , N'" + lstSubject.Text + "' , N'" + txtContact.Text + "', N'" + ResultCode.ToString() + "')";

برای یک پروژه معمولی

:بامزه: خوب چرا پارامتريش نميكني.
4 تا خط بيشتر نيستا.

اگه فیلد های بانکتو nvarchar تعریف کردی دیگه نیاز نیست قیل از مقادیر N بزاری ولی در کل اره این شکلیم میشه ولی عذابه این کارو نکن برو سراغ EF

یه پروژه ای رو بخش های مختلفش و اینطوری نوشتم
الان اگه بخوام برگردم از اول پارامتری بنویسم واقعا عذاب اور هستش

یکی از بچه ها از لحاظ امنیتی گفت ایراد داره

یکی از بچه ها از لحاظ امنیتی گفت ایراد داره

اگه تحت وب باشه اره مشکل زا میشه
sql injection رو Search کن

با تشکر از شما
میشه یک روش ساده و امنوارد کردن اطلاعات تو دیتا بیس و بگید؟ مثال

سلام.
خیر این روش صحیح نیست. شما حتما باید از Parametric Command (http://msdn.microsoft.com/en-us/library/yy6y35y8.aspx) ها استفاده کنید.
برای مشاهده نمونه به لینک فوق (تقریبا انتهای صفحه، مثال C#) مراجعه کنید.

موفق باشید.

دوستان من با این روش اطلاعات و ذخیره میکنم ایا مشکلی داره؟
cmd.CommandText = "Insert Into [Contact] ([Time], [Name], [Email], [Subject], [Contact], [Code]) Values (N'" + DateandTime.ToString() + "' , N'" + txtName.Text + "' , N'" + txtEmail.Text + "' , N'" + lstSubject.Text + "' , N'" + txtContact.Text + "', N'" + ResultCode.ToString() + "')";

برای یک پروژه معمولی
با سلام
پیشنهاد بنده هم استفاده از Store procedure هست. که از لحاظ سرعت و امنیت نسبت به روش شما بهینه تره ...
Good Luck

فرقي نداره بين استور و پارامتر ها .
فقط سرعت بيشتري داره استور ها ، از نظر امنيتي گفتم :متفکر: