Howto? Paramètres et COMME instruction SQL

Je suis en train d'écrire une fonction de recherche, et nous avons pensé de cette requête à l'aide de paramètres à prévenir, ou tout au moins de limiter les attaques par injection SQL. Cependant, quand je le lance par le biais de mon programme, il ne retourne rien:

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

Paramètres peuvent être utilisés comme ceci? ou sont-ils seulement valide dans un exemple comme:

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%' (où <string> est l'objet de la recherche).

EDIT: je suis la construction de cette fonction avec VB.NET n'ont d'impact sur la syntaxe, les gars, vous avez contribué?

Aussi, j'ai couru à cette déclaration dans SQL Server: SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE%max%')` et qui retourne des résultats.

InformationsquelleAutor Anders | 2008-10-30