Bir üstteki hocamızın dediğine katılıyorum. Sql komutu parametreli bir şekilde gönderin. Aksi takdirde sql injection gibi sıkıntılar oluşabilir.