Bonjour,

J'ai une procédure stockée avec un LIKE, mais je me demande si il n'y a pas de risque d'injection SQL, à cause de la concatenation.

Code SQL : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
ALTER PROCEDURE Search
@word nvarchar(512)
AS
BEGIN
	-- SET NOCOUNT ON added to prevent extra result sets from
	-- interfering with SELECT statements.
	SET NOCOUNT ON;
 
		Select ID, Name
		from matabmle
		where monchamps like '%'+@word+'%' 		
 
END

Merci pour votre aide