Không thực hiện các truy vấn động bằng cách xây dựng các chuỗi và thực thi chúng.
Sử dụng sp_executesql và chuyển các tham số dưới dạng tham số.
Bạn sẽ thấy rằng việc tiêm sql không còn nữa.
CHỈNH SỬA :xin lỗi, tôi đã vội vàng và viết sai lệnh. nó không phải sp_execute, nó là sp_executesql; nó cần một chuỗi và một tập hợp các tham số:tất cả việc mã hóa và thoát các tham số đều do SQL Server thực hiện.
EDIT2 : giải thích câu lệnh sp_executesql
