如何在asp.net中为mysql逃脱？

问题描述

| 这个PHP 代码的ASP.NET等效项是什么？

$db = new MysqLi(/*some data*/);
$db->query(\'INSERT INTO `log` (`msg`) VALUES (\"\'.$db->real_escape_string($_POST[\'mesg\']).\'\");\');

我只对ѭ1感兴趣，但是我可以在Google上找到的关于ASP.NET和sql的唯一示例都是可注入的。所以我的问题是：如何使用ADO.NET将用户数据传递到ASP.NET中的sql？如果您使用正则表达式替换，请基于此代码创建示例。

解决方法

使用这种方法时，您将需要研究在代码中使用参数化SQL。

using (SqlConnection connection = new SqlConnection(connectionString))
{
  DataSet userDataset = new DataSet();

  SqlDataAdapter myDataAdapter = new SqlDataAdapter(\"SELECT * FROM Log WHERE Message = @Message\",connection);                

  myCommand.SelectCommand.Parameters.Add(\"@Message\",SqlDbType.VarChar,11);

  myCommand.SelectCommand.Parameters[\"@Message\"].Value = messageString;

  myDataAdapter.Fill(userDataset);
}

, 首先，如果可能，应使用属性。然后，您不需要自己转义字符串。如果无法做到这一点，则需要转义反斜杠和撇号：

public static string EscapeForMySQL(string str) {
  return str.Replace(\"\\\\\",\"\\\\\\\\\").Replace(\"\'\",\"\\\\\'\")
}

, 如果可能，请重构以避免动态sql或使用参数化查询。对ODBC使用参数化查询（我相信oledbcommand也可以在这里使用） http://weblogs.asp.net/cumpsd/archive/2004/04/05/107456.aspx 请参阅我的演讲-第一个主题： http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/DEV333

asp.net mysql 中为何在何在逃脱逃脱