Καταρχήν δεν αναφέρεις που ακριβώς είναι το πρόβλημα. Παίρνεις κάποιο μήνυμα λάθους; Δεν επιστρέφει τίποτα το query; Χτυπάει ο κώδικας στο compilation; Όσο πιο αναλυτικός είσαι, τόσο καλύτερα μπορούμε να βοηθήσουμε.

Όπως και να έχει, κοίτα εδώ http://msdn.microsoft.com/en-us/library/tyy0sz6b.aspx για να ξεκινήσεις.

φιλε μου δεν λες πολλα πραγματα και λεπτομερειες αν προκειτε για datatable κτλ αλλα οπως και να χει AN πεσω μεσα η οχι δεν ξερω παρε μια μικρη ιδεα ακομα ομως το γραφω σε vb.net το κανεις ευκολα c#.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 

Dim myVariable As String

'as ypothesoume oti gemiseis to string apo ena textbox oti exei grammeno ekeini ti stigmi mesa tou
myVariable= me.textbox.text

'edo den xero pos prospatheis na trexeis to Query alla as paroume oti exeis kanei connection ktl ktl
' kai eise sti fasi tou ExecuteNonQuery

balblabla.ExecuteNonQuery(string.format("SELECT Phone FROM Table WHERE Name='{0}'",myVariable),blablabla)

'i string.format perna mesa se {0},{1},{2} oses antistixes metavlites thes dinamika kai tis kanei ena enieo string oste na to ekteleseis meta esy os query. prosoxi sto paradigma mou exo to 0 mesa se autakia giati prokite gia string allios den xriazete.


ελπιζω να έπεσα μεσα στο τι θες να κανεις.

Johnny, πράγματι έπεσες εντελώς έξω. Αυτό που περιγράφεις δεν είναι εκτέλεση SQL με παράμετρο, είναι η δημιουργία ενός SQL string και η εκτέλεση του ΧΩΡΙΣ παράμετρο. Είναι ο χειρότερος δυνατός τρόπος να εκτελέσεις ένα statement και σε αφήνει εντελώς έκθετο σε SQL Injection attacks. Για σκέψου, τί θα γίνει αν ο χρήστης δώσει στο textbox το παρακάτω?

'; drop table customer; --

To statement που έγραψα είναι κάτι που οποιοδήποτε script kiddie θα δοκιμάσει πρώτο για να δει αν μπορεί να σου διαλύσει τη βάση.

Το string concatenation είναι άκρως επικίνδυνο και δεν πρέπει ούτε για αστείο να χρησιμοποιείται σε εφαρμογές - ούτε καν για demo, 
πόσο μάλλον σε εμπορικές εφαρμογές ή web sites. 

αυτός που μου το έμαθε last year μάλλον δεν το γνώριζε αυτό.... ευτυχώς όσες φορές το έκανα χρήση το έκανα με τέτοιο τρόπο που το {0} δεν είναι ανοικτό στον χρήστη να βάλει οτι θέλει.

Παναγιώτη σε ευχαριστώ για την "παρατήρηση" δεν το γνώριζα αυτό. πριν μου διξουν αυτο τον τροπο για ποιο "γρήγορα", έγραφα ετσι με @parameter http://vbnetsample.blogspot.com/2007/10/using-sqlparameter-class.html και πέρυσι μου έδειξε αυτο ενας "senior" developer, φαντάστηκα οτι οτι ήταν καλύτερο...

tnx man.

Δες εδώ για Query με @parameter το οποίο  σου βρίσκει ότι αρχίζει από το string που εισάγεις, είναι σε VB αλλά πιστεύω ότι θα βοηθήσει

How Do I: Create a Search Form?

Visual Basic programmers will see how to create a search form with a parameterized query using the Search Criteria Builder in Visual Studio

http://msdn.microsoft.com/en-us/vbasic/bb643828.aspx