SQL दस्तावेज़ों को देखते हुए, आप अपनी क्वेरी में एक प्रश्न चिह्न (?) का सामना कर सकते हैं। ये प्लेसहोल्डर पैरामीटर किए गए क्वेरी का प्रतिनिधित्व करते हैं और व्यापक रूप से कार्यक्रमों में गतिशील एसक्यूएल को निष्पादित करने के लिए उपयोग किए जाते हैं। पैरामीटर किए गए क्वेरी के कई फायदे हैं। वे क्वेरी से पैरामीटर मानों को अलग करके कोड को सरल बनाते हैं, जिससे यह अधिक कुशल और लचीला हो जाता है। इसके अतिरिक्त, वे SQL इंजेक्शन हमलों को रोककर सुरक्षा बढ़ाते हैं।

उदाहरण के लिए, एक छद्म-कोड उदाहरण में:

परिणाम = cmd.execute ()

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = 7")
result = cmd.Execute()

यह तकनीक SQL इंजेक्शन के जोखिम को समाप्त करते हुए, सही स्ट्रिंग एस्केप सुनिश्चित करती है। निम्नलिखित परिदृश्य पर विचार करें:

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()

string s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE (name = '"   s   "')"
cmd.Execute()

] ] cmd.parameters.addwithvalue ("@varname", 7) परिणाम = cmd.execute ()