问题描述
|
这个PHP代码的ASP.NET等效项是什么?
$db = new MysqLi(/*some data*/);
$db->query(\'INSERT INTO `log` (`msg`) VALUES (\"\'.$db->real_escape_string($_POST[\'mesg\']).\'\");\');
我只对ѭ1感兴趣,但是我可以在Google上找到的关于ASP.NET和sql的唯一示例都是可注入的。
所以我的问题是:如何使用ADO.NET将用户数据传递到ASP.NET中的sql?
如果您使用正则表达式替换,请基于此代码创建示例。
解决方法
使用这种方法时,您将需要研究在代码中使用参数化SQL。
using (SqlConnection connection = new SqlConnection(connectionString))
{
DataSet userDataset = new DataSet();
SqlDataAdapter myDataAdapter = new SqlDataAdapter(\"SELECT * FROM Log WHERE Message = @Message\",connection);
myCommand.SelectCommand.Parameters.Add(\"@Message\",SqlDbType.VarChar,11);
myCommand.SelectCommand.Parameters[\"@Message\"].Value = messageString;
myDataAdapter.Fill(userDataset);
}
, 首先,如果可能,应使用属性。然后,您不需要自己转义字符串。
如果无法做到这一点,则需要转义反斜杠和撇号:
public static string EscapeForMySQL(string str) {
return str.Replace(\"\\\\\",\"\\\\\\\\\").Replace(\"\'\",\"\\\\\'\")
}
, 如果可能,请重构以避免动态sql或使用参数化查询。
对ODBC使用参数化查询(我相信oledbcommand也可以在这里使用)
http://weblogs.asp.net/cumpsd/archive/2004/04/05/107456.aspx
请参阅我的演讲-第一个主题:
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/DEV333