Es lo mismo como tu dices, solo que de la forma que sugerí dejamos el armado de la cadena al motor y en el otro caso hay que hacerlo por código antes de pasarlo al motor. Depende de como quiera implementarse. He visto programas que incluso permiten al usuario poner los caracteres comodines ("%") al momento de buscar por un campo de texto, pero en lo personal no me gusta que el usuario final tenga que meterse con el sql por lo que casi siempre limpio la cadena que capturó el usuario antes de pasarla al motor por aquello del SQL injection.
|