Что касается SQL-инъекции, я понимаю, почему важно параметризовать параметр строки. Но приемлемо или оправдано ли не параметризовать команду при работе с, скажем, программным обеспечением, зависящим от базы данных, для компании, которая в первую очередь ориентирована на внутреннее использование, а не на внешнее влияние?Внутреннее vs Использование extenal параметризованной команды sql
Как я всегда говорю, you need it not for Bobby Tables but for Sarah O'Hara. Это синтаксически корректный SQL-запрос того, что у вас есть в подготовленном заявлении, в то время как защита - это просто побочный эффект. Это вопрос назначения. Вы должны учитывать SQL-запрос, куда входят ваши данные. В то время как источник данных должен учитывать последнее.
Кроме того, я не вижу смысла в торгах. Что вы пытаетесь купить для себя здесь? Есть ли у параметров что Вам подходит? Ну, вините библиотеку, которую вы используете. Правильно реализованный параметризованный запрос - это простой способ запуска запроса.
Два слова, которые следует иметь в виду ... Недовольный сотрудник –