По принцип, когато изпълнявате SQLCommand
използвайки SQLParameters
, параметрите никога не се вмъкват директно в израза. Вместо това, системна съхранена процедура, наречена sp_executesql
се извиква и му дава SQL низ и масива от параметри.
Когато се използват като такива, параметрите се изолират и се третират като данни, вместо да трябва да бъдат анализирани извън оператора (и по този начин евентуално да се променят), така че това, което съдържат параметрите, никога не може да бъде „изпълнено“. Просто ще получите голяма грешка, че стойността на параметъра е невалидна по някакъв начин.