Я видел во многих учебниках, которые составляют оператор sql с помощью переменных и Parameters.Add likt this
public void updateStudent(String @studentID, String @firstName, String @lastName)
{
SQLiteCommand command = conn.CreateCommand();
command.CommandText = "UPDATE Students SET firstName = @firstName, lastName = @lastName WHERE studentID = @studentID";
command.Parameters.Add(new SQLiteParameter("@studentID", @studentID));
command.Parameters.Add(new SQLiteParameter("@firstName", @firstName));
command.Parameters.Add(new SQLiteParameter("@lastName" , @lastName));
command.ExecuteNonQuery();
}
почему мы не используем
string.Format("Update Students SET firstName = '{0}', lastName = '{1}...", @firstName, @lastname)
любая выгода?