Yani bir MSSQL DB form verilerini depolayan bir PHP komut dosyası geliştiriyorum.

Bu, SQL enjeksiyonu önlemek için emin olmak için tek yol saklı prosedürleri kullanmak için görünüyor hangisinin zaten gerekir. Bütün İngilizce iyidir ancak diğer karakter setleri, bu durumda Tay, ben almak ?????

Ben belirgin bir şey eksik eminim. İşte SP bulunuyor:

ALTER PROCEDURE [dbo].[sp_insert_contactus] 
-- Add the parameters for the stored procedure here
@firstName nchar(200) = '', 
@lastName nchar(200) = ''
AS
BEGIN
-- SET NOCOUNT ON added to prevent extra result sets from
-- interfering with SELECT statements.
SET NOCOUNT ON;

-- Insert statements for procedure here
INSERT INTO Contact_RL(FirstName, LastName) VALUES(@firstName, @lastName)
END

exec sp_insert_contactus 'test', 'ทดสอบ' ve exec sp_insert_contactus 'test', N'ทดสอบ' aynı sonucu verir hem de.

Yani hile ne?