6
Как создать параметризованный SQL-запрос? Почему я должен?
Я слышал, что «все» используют параметризованные SQL-запросы для защиты от атак SQL-инъекций, не проверяя каждый элемент пользовательского ввода. Как ты делаешь это? Получаете ли вы это автоматически при использовании хранимых процедур? Итак, я понимаю, что это не параметризовано: cmdText = String.Format("SELECT foo FROM bar WHERE baz = '{0}'", fuz) Будет …