C#のOracleではすべての変数がバインドされているわけではありません。

C＃では、Oracleデータベースではすべての変数をバインドする必要はありません。 SQLステートメントを実行する際には、特定の変数をバインドするパラメータ化クエリを使用して、SQLインジェクション攻撃を防ぎ、パフォーマンスを向上させることができます。

SQL文に変数の値を直接埋め込むのではなく、パラメータ化されたクエリを使用することで、変数の値をSQL文に安全に渡すことができます。これにより、入力された値が正しくエスケープされて処理され、潜在的なセキュリティ問題を回避することができます。

以下是使用パラメータ化クエリを実行するSQL文の例：

using (OracleConnection connection = new OracleConnection(connectionString))
{
    connection.Open();
    
    string sql = "SELECT * FROM Customers WHERE CustomerId = :customerId";
    
    using (OracleCommand command = new OracleCommand(sql, connection))
    {
        command.Parameters.Add(":customerId", OracleDbType.Int32).Value = customerId;
        
        using (OracleDataReader reader = command.ExecuteReader())
        {
            while (reader.Read())
            {
                // 处理查询结果
            }
        }
    }
}

上記の例では、特定のCustomerIdを持つ顧客を検索するためにパラメータ化クエリが使用されました。変数の値をクエリにパラメータとして渡すことで、安全かつ効果的なクエリを確保できます。

注意すべき点は、パラメータの名前（例：“:customerId”）がクエリ文字列内でパラメータセット内の名前と一致している必要があるということです。

パラメーター化クエリを使用することで、SQLインジェクション攻撃のリスクを減らすことができ、クエリの実行前に例外をキャッチして処理することもできます。さらに、パラメーター化クエリは、データベースがコンパイルされたクエリプランをキャッシュし、同じクエリを複数回実行する際に再利用するので、パフォーマンスも向上します。