Dybest set, når du udfører en SQLCommand
ved hjælp af SQLParameters
, bliver parametrene aldrig indsat direkte i sætningen. I stedet en systemlagret procedure kaldet sp_executesql
kaldes og gives SQL-strengen og rækken af parametre.
Når de bruges som sådan, isoleres parametrene og behandles som data, i stedet for at de skal parses ud af sætningen (og dermed muligvis ændres), så det, parametrene indeholder, kan aldrig "udføres". Du får bare en stor fejl om, at parameterværdien på en eller anden måde er ugyldig.