Виждал съм в моите търсения използването на параметризирани низове в SQL заявки, формирани както следва:
SqlCommand comm = new SqlCommand();
comm.CommandText="SELECT * FROM table WHERE field LIKE '%'+@var+'%'";
comm.Parameters.AddWithValue("var","variabletext");
SqlDataReader reader = comm.ExecuteReader();
В този форум обаче беше споменато, че подлежи на инжектиране на sql, въпреки че се използва в параметризиран низ. Мога само да предположа, че свързаните низове заобикалят цялата параметризирана сигурност и просто вмъкват стойността директно като низ. Ако случаят е такъв, как се използват операторите със заместващи знаци в параметризирана заявка, като се избягва инжектирането на sql код?