Inhaltsverzeichnis:
Definition - Was bedeutet parametrisierte Abfrage?
Eine parametrisierte Abfrage ist eine Art von SQL-Abfrage, für deren Ausführung mindestens ein Parameter erforderlich ist. In der SQL-Abfrage wird der Parameter normalerweise durch einen Platzhalter ersetzt. Der Parameter wird dann in einer separaten Anweisung an die Abfrage übergeben.
Techopedia erklärt die parametrisierte Abfrage
Ein Hauptgrund für die Verwendung von parametrisierten Abfragen ist, dass sie Abfragen lesbarer machen. Der zweite und zwingendste Grund ist, dass parametrisierte Abfragen die Datenbank vor SQL-Injection-Angriffen schützen.
Das Folgende ist ein Beispiel für eine parametrisierte ADO.NET-Abfrage:
SELECT Nachname FROM Kontakte WHERE ContactID = @ContactID;
@ContactID ist der Parameter für diese Abfrage, der in einer nachfolgenden Anweisung ähnlich der folgenden definiert werden kann:
command.Parameters.Add (neuer SqlParameter ("@ ContactID", theContactID));
