Mam wątpliwości co do tej sytuacji.Podobnie jak klauzula i wtrysk sql
mam zapytanie jak to w procedura składowana:
SELECT column1, column2
FROM table1
WHERE column1 like '%' + @column1 + '%'
Moje pytanie jest, jest podatna na SQL Injection? Czy muszę zmienić na coś takiego: (?)
declare @column1Like nvarchar(200);
@column1Like = '%' + @column1 + '%'
SELECT column1, column2
FROM table1
WHERE column1 like @column1Like
Pozdrowienia
Tak, jestem bardzo ostrożny o kwestiach bezpieczeństwa. Ale tego nie złapałem: P –