私が書いた場合、私はちょうどそれを見つけました
select * from tbl where name like @foo
\a
次に、正しくエスケープしない値 (ユーザー データ) を持つパラメーターとして foo を追加します。なんてこったい!?!それは欲しい\\a
。パラメータを使用しているにもかかわらず、SQLインジェクトに対してオープンであると感じずにはいられません。
変数内のユーザー データを正しくエスケープするにはどうすればよいですか? dapper.net を使用して C# で mysql を使用しています