DOTNET: Nehmt endlich parametrisierte SQL-Statements!
Meine Güte, ich halts langsam nicht mehr aus: Viel zu viele “Entwickler” verwenden klassische (=dynamisch zusammengestellte) SQL-Statements und wundern sich dann über komischste Seiteneffekte. Dabei kann es doch so einfach sein, wenn man nur mal auf die Ratschläge hören würde, die einem an jeder Ecke entgegen gerufen werden.
Die wichtigsten Gründe für parametrisierte Statements sind:
- Schutz vor SQL-Injection
- Keine “komischen” Effekte beim Einfügen von Daten
- Höhere Performance von SQL-Statements
- Bessere Wartbarkeit von Applikationen
Für die klassischen SQL-Statements spricht heutzutage nichts mehr. Das gilt sowohl für Java, als auch für .NET-Applikationen. Um so schlimmer, dass es immer noch Bücher und Tutorials gibt, die dennoch diese völlig veraltete, unperformante und unsichere Art der Datenbankansprache postulieren.
