vb.net – SQL注入：为什么下面的代码很危险？

Public Sub PopulateUsersByName (name As String)
        'Here,the parameter 'name' is unsantized,coming straight from the form

        Dim query As String = ""
        query += vbNewLine + " SELECT Id,FirstName,LastName FROM dbo.[Users]"
        query += vbNewLine + " WHERE FirstName LIKE '" + REPLACE(name,"'","''") + "'"
        query += vbNewLine + "     OR LastName LIKE '" + REPLACE(name,"''") + "'"

        'Execute SQLCommand with above query and no parameters
        'Then do some other stuff

    END Sub

我已经解释过,一般来说,在尝试执行上述操作时,不应该使用字符串连接.最佳实践是使用SP或带参数的SQLClient.SQLCommand.

他的逻辑是：通过用两个单引号替换所有单引号(并在字符串的开头和结尾添加额外的单引号)来清理任何sql varchar(xxx).

我无法提供一个用户可以输入的东西的例子 – 我希望我能找到比“更有说服力的东西”但是,作为一般校长,你应该避免这个 – 你知道……因为. ..好吧,不要和我争辩 – 我是老板,我的愿望就是你的命令.“

注意：代码将始终连接到我们的Microsoft SQL Server.但我可以想象它无法清理其他SQL实现的输入.

更新：

为了使它更清楚一点,我正在寻找的是参数名称的可能值,这将允许某人将SQL注入查询.