パラメタライズクエリ
■SQLを発行する際は、条件句をパラメータ化することが、Security上望ましい
また、記号のエスケープや文字列の場合''の付与等も自動で行ってくれる。
・sqlCommand.Parameters.Add(New SqlParameter("パラメータ名", 値))
・SQL句にパラメータ名を埋め込む
ex)
cmd.CommandText = "SELECT * FROM Test Where UserId = @UserId"
cmd.Parameters.Add(New SqlParameter(@UserId, 'TestUser'))
■同じ名前のパラメータは使いまわせる
ex)
cmd.CommandText =
"SELECT * FROM Test Where UserId = @UserId and UpdateUserId = @UserId
cmd.Parameters.Add(New SqlParameter(@UserId, 'TestUser'))