0

私が書いた場合、私はちょうどそれを見つけました

select * from tbl where name like @foo

\a次に、正しくエスケープしない値 (ユーザー データ) を持つパラメーターとして foo を追加します。なんてこったい!?!それは欲しい\\a。パラメータを使用しているにもかかわらず、SQLインジェクトに対してオープンであると感じずにはいられません。

変数内のユーザー データを正しくエスケープするにはどうすればよいですか? dapper.net を使用して C# で mysql を使用しています

4

1 に答える 1

0

同様のステートメントについては、これに追加します

.Replace(@"\", @"\\").Replace(@"_", @"\_").Replace(@"%", @"\%")
于 2012-11-28T21:27:28.723 に答える