Hvordan indsættes data i MS Sql

Måske noget a la:

SqlConnection con = new SqlConnection("server=ARNEPC2;Integrated Security=SSPI;database=Test");
con.Open();
SqlCommand ins = new SqlCommand("INSERT INTO tabel VALUES('" + txtFornavn.Text + "','" + txtEfternavn.Text + "')", con);
ins.ExecuteNonQuery();

hmmm, men jeg har set nogle steder at man f.eks bruger SqlCommand på en anden måde....

altså
SqlCommand cmdInsert = new SqlCommand( sqlInsert, conn );   
cmdInsert.Parameters.Add( "@fornavn", fornavn.Text );
.....
cmdInsert.ExecuteNonQuery();

Men hvorfor angiver man @ foran navnet ? og i sqlInsert statement under Values angiver man ikke værdier som du f.eks lige har vist, hvordan kan det være....

Det kan man også.

Det er faktisk anbefalelsesværdigt.

Men eksemplet bliver ikke simplere af det:

SqlConnection con = new SqlConnection("server=ARNEPC2;Integrated Security=SSPI;database=Test");
con.Open();
SqlCommand ins = new SqlCommand("INSERT INTO tabel VALUES(@fornavn,@efternavn)", con);
ins.Parameters.Add("@fornavn", SqlDbType.VarChar)
ins.Parameters.Add("@efternavn", SqlDbType.VarChar)
ins.Parameters("@fornavn").Value = txtFornavn.text;
ins.Parameters("@efternavn").Value = txtEfternavn.Text;
ins.ExecuteNonQuery();

Okay, men hvorfor bruger man @ foran?

Det gør man traditionelt til parametre til SQLServer.

okay det vil sige at min sqlInsert statement (kl. 20:18:54) skal se sådan ud...

string sqlInsert = "INSERT INTO bruger "+"( fornavn, efternavn ) "+"VALUES "+"( @fornavn, @efternavn, )";

hvor man f.eks men @fornavn senere angiver værdier altså:

ins.Parameters.Add("@fornavn", SqlDbType.VarChar)
ins.Parameters("@fornavn").Value = txtFornavn.text;

Er det korrekt forstået?

Ja

Eller - det er ihvertfald en af måderne.

Ved at bruge parametre undgår du risiko for SQL injection, problemer med O'Toole etc..

Og en af finsserne er at:

ins.Parameters("@noget").Value = noget;
ins.ExecuteNonQuery();

kan være inden i en løkke mens resten er udenfor.

og et svar

Super fint svar...det vil jeg arbejde videre med.....