Führen Sie keine dynamischen Abfragen durch, indem Sie Zeichenfolgen erstellen und diese ausführen.
Verwenden Sie sp_executesql
und Parameter als Parameter übergeben.
Sie werden feststellen, dass es keine SQL-Injektion mehr gibt.
BEARBEITEN :Entschuldigung, ich war in Eile und habe den falschen Befehl geschrieben. es ist nicht sp_execute, es ist sp_executesql; Es braucht eine Zeichenkette und eine Reihe von Parametern:Die gesamte Codierung und das Escapezeichen der Parameter wird von SQL Server durchgeführt.
BEARBEITEN2 :Erklärung der sp_executesql-Anweisung