string query = @"SELECT ColA, ColXML FROM TableT WHERE ColXML.exist('/SuperNode/Node/SubNode[.=({0})]') = 1";
string param = "''value1'',''value2'',''value3''";
string sQ = string.Format(query, param);
A: dbContext.ExecuteQuery(sQ);
B: dbContext.ExecuteQuery(query, param);
A は実行して結果を返しますが、B は返しません。
これには何か理由がありますか?また、param は一般的なSQL
インジェクション パターンで検証されますか?
ご指摘ありがとうございます。