Zitat:
1. Wann sollte man das anwenden?
Ich verwende eigentlich so gut wie immer parametrsierte Abfragen.
Zitat:
2. Wie wendet man das an?
Anstatt der Werte trägt man Parameter (Variablen) ein. Die Abfrage wird dann vom
SQL-Server geparst (vorbereitet). Bei der eigentlichen Abfrage werden dann nur noch die Werte-Tupel übertragen.
Zitat:
3. Was ist der Vorteil gegenüber einem normalen adden des
SQL-Statements?
-System sorgt für richtiges Format
-kein Quoten o.ä. nötig
-sicherer gegenüber
sql injection
-bei mehrfacher Ausführung muss die Abfarge nur einmal "kompilliert" werden (Parsse, Zurgriffsplan erstellen usw.)-> bessere Performance