Foretag ikke dynamiske forespørgsler ved at bygge strenge og udføre dem.
Brug sp_executesql og videregive parametre som parametre.
Du vil opdage, at sql-injektion ikke er mere.
REDIGER :undskyld, jeg havde travlt og skrev den forkerte kommando. det er ikke sp_execute, det er sp_executesql; det kræver en streng og et sæt parametre:al kodning og escape af parametrene udføres af SQL Server.
EDIT2 :sp_executesql-sætningsforklaring