string query = @"SELECT ColA, ColXML FROM TableT WHERE ColXML.exist('/SuperNode/Node/SubNode[.=({0})]') = 1";
string param = "''value1'',''value2'',''value3''";
string sQ = string.Format(query, param);
A: dbContext.ExecuteQuery(sQ);
B: dbContext.ExecuteQuery(query, param);
A 执行并返回结果,但 B 没有。
这有什么原因吗?此外,参数是否针对常见的SQL
注入模式进行了验证?
感谢您的任何指点!