Definição - o que significa consulta parametrizada?
Uma consulta parametrizada é um tipo de consulta SQL que requer pelo menos um parâmetro para execução. Um marcador de posição normalmente é substituído pelo parâmetro na consulta SQL. O parâmetro é então passado para a consulta em uma instrução separada.
Definirtec explica a consulta parametrizada
Um dos principais motivos para o uso de consultas parametrizadas é que elas tornam as consultas mais legíveis. O segundo e mais convincente motivo é que as consultas parametrizadas ajudam a proteger o banco de dados de ataques de injeção de SQL.
A seguir está um exemplo de uma consulta parametrizada ADO.NET:
SELECT LastName FROM Contacts WHERE ContactID = @ContactID;
@ContactID é o parâmetro para esta consulta, que pode ser definido em uma instrução subsequente semelhante à seguinte:
command.Parameters.Add (new SqlParameter ("@ ContactID", theContactID));