Larsa dotyczące SQL injection jest potencjalnie mylące, chociaż nie sądzę, żeby to było jego intencją, i chciałem dostarczyć trochę więcej kontekstu tak, że komentarz nie jest źle.
To prawda, że nazwane zapytania są sparametryzowane według specyfikacji, a użycie nazwanych parametrów jest krokiem w kierunku ochrony przed iniekcją SQL. Jednak nie w pełni chroni przed iniekcją SQL (więcej informacji znajduje się w jego linku). Sformułowanie komentarza sugeruje, że stosowanie nazwanych zapytań jest jedynym niezbędnym krokiem w celu ochrony przed atakami iniekcyjnymi. W rzeczywistości, normalne zapytania mogą (i powinny) być sparametryzowane i zapewnią dokładnie taki sam poziom izolacji od ataku iniekcyjnego, jak nazwane zapytania, a parametryzowanie zapytań jest tylko jednym z wielu niezbędnych kroków w udaremnieniu iniekcji.
Aby dodać do komentarza Larsa na temat aplikacji internetowych, należy pamiętać, że ważne jest wyszukanie danych w celu ochrony przed atakami wtryskowymi, niezależnie od tego, czy aplikacja jest zewnętrznie skierowana czy nie, czy dane wejściowe pochodzą od użytkownika lub z innej bazy danych (lub nawet ta sama baza danych).
i preferuję zapytania kryterialne do obu ... – NimChimpsky