我刚发现如果我写
select * from tbl where name like @foo
然后将foo添加为值为\a(用户数据)的参数,使其无法正确转义。我勒个去!?!它想要\\a。即使我使用参数,我也忍不住觉得我对sql注入是开放的。
如何正确转义变量中的用户数据?我在C#上使用mysql使用dapper.net
答案 0 :(得分:0)
对于我在此
中添加的类似陈述.Replace(@"\", @"\\").Replace(@"_", @"\_").Replace(@"%", @"\%")