Я новичок в работе с базами данных. Теперь я могу писать команды SELECT
, UPDATE
, DELETE
и INSERT
. Но я видел много форумов, где мы предпочитаем писать:
SELECT empSalary from employee where salary = @salary
... вместо:
SELECT empSalary from employee where salary = txtSalary.Text
Почему мы всегда предпочитаем использовать параметры и как бы я их использовал?
Я хотел узнать о пользе и преимуществах первого метода. Я даже слышал о SQL-инъекции, но не совсем понимаю. Я даже не знаю, связана ли SQL-инъекция с моим вопросом.