V podstatě, když provedete SQLCommand
pomocí SQLParameters
, parametry se nikdy nevkládají přímo do příkazu. Místo toho je v systému uložena procedura s názvem sp_executesql
je volán a je mu přidělen řetězec SQL a pole parametrů.
Když jsou použity jako takové, jsou parametry izolovány a zachází se s nimi jako s daty, namísto toho, aby musely být z příkazu analyzovány (a tedy případně změněny), takže to, co parametry obsahují, nelze nikdy „spustit“. Dostanete pouze velkou chybu, že hodnota parametru je nějakým způsobem neplatná.