Оглавление:
Определение - Что означает параметризованный запрос?
Параметризованный запрос - это тип запроса SQL, для выполнения которого требуется хотя бы один параметр. Заполнитель обычно заменяется параметром в запросе SQL. Затем параметр передается в запрос в отдельной инструкции.
Техопедия объясняет параметризованный запрос
Одной из основных причин использования параметризованных запросов является то, что они делают запросы более читабельными. Вторая и наиболее веская причина заключается в том, что параметризованные запросы помогают защитить базу данных от атак SQL-инъекций.
Ниже приведен пример параметризованного запроса ADO.NET:
ВЫБЕРИТЕ Фамилию из контактов ГДЕ ContactID = @ContactID;
@ContactID - это параметр для этого запроса, который может быть определен в следующем операторе, подобном следующему:
command.Parameters.Add (новый SqlParameter ("@ ContactID", theContactID));
