Cita:
Empezado por mamcx
El caracter % hace parte del estandar SQL para consultas LIKE. No tiene nada de malo en general, excepto que se puede usar pa una injeccion, pero NUNCA en el caso de usar parametros.
Tener "%algo" no es ningun problema.
|
¡Vaya! Parece que seguimos esquivos. El caso es que no dan un sólo ejemplo de inyección de código debido al uso de % sin parámetros. He visto algunos ejemplos pero se deben en realidad al uso de apóstrofos. Creo que soy de la opinión de Delphius.
Eso, o simplemente no les parece adecuado compartir sus conocimientos.
// Saludos