Citazione Originariamente Scritto da kabodie Visualizza Messaggio
emmm.. temo che sia esattamente quello che stiamo facendo
anche perchè se è statica la query.. non può avere un sql injection
Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile