Экранирование - это древний метод, который раздражает в использовании, а также подвержен ошибкам (довольно легко забыть переменную или дважды ее избежать - и нередко видеть, что используется экранирующая функция неправильно ).Любая приличная библиотека баз данных, написанная в последнее десятилетие, должна поддерживать подготовленные операторы или быть отброшенной.
В боковом меню Утомительный сайт имеется выдающийся Использование параметров запись первого уровняэто охватывает:
здесь есть поддержка параметризованных операторов и использование параметров при вызове процедур.
Входные параметры добавляются в запрос с использованием Request.addParameter(), а выходные параметры добавляютсяиспользование Request.addOutputParameter() Имена параметров
В T-SQL имена параметров идентифицируются с помощью префикса'@'.
select id from address where first_name = @name and age > @age
Имена параметров, используемые в этом API, не включают'@'.
request.addParameter('name', ..., ...);
request.addParameter('age', ..., ...);
Они могли бы предоставить менее подробный синтаксис, но он должен выполнить работу.