Índice:
Definição - O que significa Consulta Parametrizada?
Uma consulta parametrizada é um tipo de consulta SQL que requer pelo menos um parâmetro para execução. Um espaço reservado é normalmente substituído pelo parâmetro na consulta SQL. O parâmetro é passado para a consulta em uma instrução separada.
Techopedia explica consulta parametrizada
Um dos principais motivos para o uso de consultas parametrizadas é que elas tornam as consultas mais legíveis. O segundo e mais convincente motivo é que as consultas parametrizadas ajudam a proteger o banco de dados contra ataques de injeção de SQL.
A seguir, é apresentado um exemplo de uma consulta parametrizada do ADO.NET:
SELECT LastName FROM Contacts WHERE ContactID = @ContactID;
@ContactID é o parâmetro para esta consulta, que pode ser definido em uma instrução subsequente semelhante à seguinte:
command.Parameters.Add (novo SqlParameter ("@ ContactID", theContactID));
