如何解决如何在asp.net中为mysql逃脱?
| 这个PHP代码的ASP.NET等效项是什么?$db = new MysqLi(/*some data*/);
$db->query(\'INSERT INTO `log` (`msg`) VALUES (\"\'.$db->real_escape_string($_POST[\'mesg\']).\'\");\');
我只对ѭ1感兴趣,但是我可以在Google上找到的关于ASP.NET和sql的唯一示例都是可注入的。
所以我的问题是:如何使用ADO.NET将用户数据传递到ASP.NET中的sql?
如果您使用正则表达式替换,请基于此代码创建示例。
解决方法
使用这种方法时,您将需要研究在代码中使用参数化SQL。
using (SqlConnection connection = new SqlConnection(connectionString))
{
DataSet userDataset = new DataSet();
SqlDataAdapter myDataAdapter = new SqlDataAdapter(\"SELECT * FROM Log WHERE Message = @Message\",connection);
myCommand.SelectCommand.Parameters.Add(\"@Message\",SqlDbType.VarChar,11);
myCommand.SelectCommand.Parameters[\"@Message\"].Value = messageString;
myDataAdapter.Fill(userDataset);
}
, 首先,如果可能,应使用属性。然后,您不需要自己转义字符串。
如果无法做到这一点,则需要转义反斜杠和撇号:
public static string EscapeForMySQL(string str) {
return str.Replace(\"\\\\\",\"\\\\\\\\\").Replace(\"\'\",\"\\\\\'\")
}
, 如果可能,请重构以避免动态sql或使用参数化查询。
对ODBC使用参数化查询(我相信oledbcommand也可以在这里使用)
http://weblogs.asp.net/cumpsd/archive/2004/04/05/107456.aspx
请参阅我的演讲-第一个主题:
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2011/DEV333
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。