Я пишу функцию поиска и придумал этот запрос, используя параметры, чтобы предотвратить или хотя бы ограничить атаки SQL-инъекций. Однако, когда я запускаю его через свою программу, он ничего не возвращает:
SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')
Можно ли использовать такие параметры? или они действительны только в экземпляре, например:
SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'
(где <string>
- объект поиска).
EDIT: Я создаю эту функцию с помощью VB.NET, влияет ли это на синтаксис, который вы, ребята, внесли?
Кроме того, я запустил этот оператор в SQL Server: SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE
% max% ') `и возвращает результаты.