¿Por qué siempre preferimos usar parámetros en las declaraciones SQL?
Soy muy nuevo en trabajar con bases de datos. Ahora puedo escribirSELECT
, UPDATE
, DELETE
yINSERT
comandos. Pero he visto muchos foros en los que preferimos escribir:
SELECT empSalary from employee where salary = @salary
...en lugar de
SELECT empSalary from employee where salary = txtSalary.Text
¿Por qué siempre preferimos usar parámetros y cómo los usaría?
Quería saber el uso y los beneficios del primer método. Incluso he oído hablar de la inyección SQL, pero no la entiendo completamente. Ni siquiera sé si la inyección SQL está relacionada con mi pregunta.