Mysql
 sql >> Base de Dados >  >> RDS >> Mysql

mysql_real_escape_string() no .NET Framework


Por que você quer fazer isso? A maneira correta de enviar a entrada do usuário para o banco de dados não é escapar, mas usar parâmetros de consulta .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
    command.Parameters.Add("@x", textBoxX.Text);
    command.Parameters.Add("@y", textBoxY.Text);
    command.ExecuteNonQuery();
}

Isso fornece melhor desempenho, pois o texto da consulta é sempre o mesmo, de modo que o plano de execução da consulta pode ser armazenado em cache. Isso também protege você contra ataques de injeção de SQL. E também permite que você ignore problemas de formatação de dados (por exemplo, como um DateTime é formatado no SQL-Server? Como você deve representar um número no SQL? e assim por diante)