Estoy teniendo una duda sobre esta situación.Cláusula like e inyección sql
tengo una consulta como esta dentro de un procedimiento almacenado:
SELECT column1, column2
FROM table1
WHERE column1 like '%' + @column1 + '%'
Mi pregunta es, esto es vulnerable a la inyección de SQL? ¿Es necesario cambiar esto a algo como esto: (?)
declare @column1Like nvarchar(200);
@column1Like = '%' + @column1 + '%'
SELECT column1, column2
FROM table1
WHERE column1 like @column1Like
Saludos
Sí, soy muy cuidadoso acerca de los problemas de seguridad. Pero este no lo entendí: P –