Det er god kode standard at fiske dem ud, men det er også god stil at sætte et tilsvarende antal randomchar tegn ind. Den sikre udgave: WHERE THE_TEXT LIKE (‘____shipping’), eller hvis man er flink WHERE THE_TEXT LIKE (‘_ropshipping’), har dog et lille risiko element, i mulige string concat situatoner.
https://www.sqlservercentral.com[...]
Ser ud til at være det samme til MSSQL som til MySQL.
Og ja det vil stadig ikke give dig den optimale oplevelse, men du vil komme tættere på. Der findes måder at omgå rene tekst filteringer på, så man skal være ret opmærksom på hvad man tillader i sine tekstfelter, hvis man ikke bruger parametre. Det anbefales altid at bruge parametre alle de steder man kan. Det med at stykke sin SQL sammen som en streng er FARLIGT set med IT øjne, og bør undgåes. Kan det ikke undgåes, laver man tiltag som det du er fanget i her.
Vil godt gætte på at du ikke kan søge på exec heller :)
--