文字列を作成して実行することで動的クエリを実行しないでください。
sp_executesqlを使用します パラメータをパラメータとして渡します。
SQLインジェクションはもう必要ないことがわかります。
編集 :すみません、急いで間違ったコマンドを書きました。 sp_executeではなく、sp_executesqlです。文字列とパラメータのセットが必要です。パラメータのすべてのエンコードとエスケープはSQLServerによって行われます。
文字列を作成して実行することで動的クエリを実行しないでください。
sp_executesqlを使用します パラメータをパラメータとして渡します。
SQLインジェクションはもう必要ないことがわかります。
編集 :すみません、急いで間違ったコマンドを書きました。 sp_executeではなく、sp_executesqlです。文字列とパラメータのセットが必要です。パラメータのすべてのエンコードとエスケープはSQLServerによって行われます。