> dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni > query, kdy uzivatel nema moznost parametr mid primo ovlivnit. Proto jsem > pro jednoduchost zvolil prostou konkatenaci stringu. >
Pokud jde o jednoduchost, tak naprosto nejjednodušší přístup je *vždycky* používat parametry a *nikdy* neskládat dotaz ze stringů. Za to by měl být ve slušné firmě okamžitě vyhazov. LT P.S.: SQL je zlo. Rozumné databázové API by nic takového jako SQL injection z principu neumožňovalo.
