Einfügen von Abfrage mit Sub-Abfrage asp.net

Question

Ich muss Text aus einem asp.net-Webformular einfügen. Die letzte Einfügung in meiner Zeichenfolge muss den Wert aus einer Spalte basierend auf einem überprüften TreeView-Wert einfügen. Ich muss eine Unterabfrage in meiner Einfügeanweisung ausführen, die SQL-Injektion vermeidet. Der aktuelle Code fügt einen Nullwert und nicht den Wert aus der SELECT-Anweisung ein.

Dies ist mein Code:

string content = TxtContent.Text; 
string Pagename = txtKeywords.Text; 
string title = TxtPageName.Text; 
string description = TxtDescription.Text; 
string URL = TxtPageName.Text; 
string Keywords = txtKeywords.Text; 
string tree = TreeView1.SelectedValue; 

string query = @"INSERT INTO Menus([content], [Pagename], [title], [description], [Keywords], [url], [ParentMenuId]) " + "Values('" + content + "', '" + Pagename + "', '" + title + "', '" + description + "', '" + Keywords + "', '/" + URL + "', (Select [parentmenuid] from [menus] where [title] ='"+tree+"'))"; 

using (SqlConnection connection = new SqlConnection("Data Source=MYConnectionString")) 
{ 
    using (SqlCommand command = new SqlCommand(query, connection)) 
    { 
     connection.Open(); 
     command.ExecuteNonQuery(); 
    } 
} 

Answer 1

Laut MSDN, Sie Benutzer dynamische Abfragen ähnlich der folgenden (http://ud.ht/bDhf prüfen Schritt 3)

Erstellen Sie zunächst ein Objekt der "SqlDataAdaptor" kann Klasse. Weisen Sie dann für jede Variable einen beliebigen Namen zu und fügen Sie ihn dem Befehl hinzu.

using System.Data; 
using System.Data.SqlClient; 

using (SqlConnection connection = new SqlConnection(connectionString)) 
{ 
    DataSet userDataset = new DataSet(); 
    SqlDataAdapter myDataAdapter = new SqlDataAdapter(
     "SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id", 
     connection);     
    myDataAdapter.SelectCommand.Parameters.Add("@au_id", SqlDbType.VarChar, 11); 
    myDataAdapter.SelectCommand.Parameters["@au_id"].Value = SSN.Text; 
    myDataAdapter.Fill(userDataset); 
}