तार बनाकर और उन्हें निष्पादित करके गतिशील प्रश्न न करें।
sp_executesql
का उपयोग करें और पैरामीटर को पैरामीटर के रूप में पास करें।
आप पाएंगे कि sql इंजेक्शन अब नहीं रहा।
संपादित करें :क्षमा करें, मैं जल्दी में था और मैंने गलत आदेश लिखा था। यह sp_execute नहीं है, यह sp_executesql है; यह एक स्ट्रिंग और मापदंडों का एक सेट लेता है:सभी एन्कोडिंग और मापदंडों से बचना SQL सर्वर द्वारा किया जाता है।
EDIT2 :sp_executesql कथन व्याख्या