Ich schreibe eine Suchfunktion und habe mir diese Abfrage mit Parametern ausgedacht, um SQL-Injection-Angriffe zu verhindern oder zumindest einzuschränken. Wenn ich es jedoch über mein Programm ausführe, wird nichts zurückgegeben:
SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')
Können Parameter so verwendet werden? oder sind sie nur in einer Instanz gültig wie:
SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'(Wo <string>ist das Suchobjekt).
EDIT: Ich konstruiere diese Funktion mit VB.NET. Hat das Auswirkungen auf die Syntax, die ihr beigetragen habt?
Außerdem habe ich diese Anweisung in SQL Server ausgeführt: SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE% max% ') `und das gibt Ergebnisse zurück.