По принцип, когато изпълнявате SQLCommand използвайки SQLParameters , параметрите никога не се вмъкват директно в израза. Вместо това, системна съхранена процедура, наречена sp_executesql се извиква и му дава SQL низ и масива от параметри.
Когато се използват като такива, параметрите се изолират и се третират като данни, вместо да трябва да бъдат анализирани извън оператора (и по този начин евентуално да се променят), така че това, което съдържат параметрите, никога не може да бъде „изпълнено“. Просто ще получите голяма грешка, че стойността на параметъра е невалидна по някакъв начин.
