ひがです。 > @SQL や SQL ファイルの中でに、動的な変数においては、バインド変数となる > /*引数名*/ や /*引数名.プロパティ名*/ を使う事で、SQLインジェクション > 対策となる。 > > ただし、特殊なケースにおいて、埋め込み変数コメントとなる /*$引数名*/を > 使用した場合には、SQLインジェクション対策は自前で行なう必要がある。 > > という理解でよろしいでしょうか。 > はい、その理解で大丈夫です。