Почему мы всегда предпочитаем использовать параметры в операторах SQL?
Я очень плохо знаком с работой с базами данных. Теперь я могу написатьSELECT
, UPDATE
, DELETE
, а такжеINSERT
команды. Но я видел много форумов, где мы предпочитаем писать:
SELECT empSalary from employee where salary = @salary
...вместо:
SELECT empSalary from employee where salary = txtSalary.Text
Почему мы всегда предпочитаем использовать параметры и как бы я их использовал?
Я хотел бы узнать об использовании и преимуществах первого метода. Я даже слышал об SQL-инъекциях, но не до конца понимаю. Я даже не знаю, связано ли внедрение SQL с моим вопросом.