Estoy escribiendo una función de búsqueda y he pensado en esta consulta utilizando parámetros para prevenir, o al menos limitar, ataques de inyección SQL. Sin embargo, cuando lo ejecuto a través de mi programa, no devuelve nada:
SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')
¿Se pueden usar los parámetros de esta manera? o solo son válidos en una instancia como:
SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'
(donde <string>
está el objeto de búsqueda).
EDITAR: Estoy construyendo esta función con VB.NET, ¿eso tiene un impacto en la sintaxis que ustedes han contribuido?
Además, ejecuté esta declaración en SQL Server: SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE
% max% ') `y eso devuelve resultados.