Básicamente, debe evitar incluir valores en su consulta directamente.
No hay duda de que podrías ponga comillas alrededor del valor... pero no debería. En su lugar, debe usar SQL parametrizado y poner el valor en el parámetro. De esa manera, no realiza una conversión de cadena propensa a errores, evita ataques de inyección SQL (para parámetros de cadena) y separa el código de los datos.
(Como ejemplo de cuán sutilmente se puede romper esto, su código actual usará los separadores de fecha y hora de la "cultura actual", que pueden no ser / y : . Puede solucionar esto especificando CultureInfo.InvariantCulture ... pero es mejor no hacer la conversión).
Busque la documentación de un Parameters propiedad en cualquier Command tipo que está utilizando (por ejemplo, MySqlCommand.Parameters ) que con suerte le dará ejemplos. Incluso puede haber una sección de tutorial en la documentación para SQL parametrizado. Por ejemplo, esta página
puede sé lo que buscas.
