SQL Injection (Rejection?)
String sql = String.Format(
"UPDATE A_TABLE SET A_FLAG=2, PRICE=PRICE-{0} WHERE ID={1}", dwPrice, dwID);
dwPriceが負の数だったときに『--』が作られる。『--』は行コメントなので『PRICE=PRICE』より後ろがコメントアウトされてしまう。そしてテーブルの全レコードが『A_FLAG=2』に更新されてしまった……(今日の実話)