.net - 如何正确转义mysql？

Question

我刚刚发现如果我写

select * from tbl where name like @foo

然后添加 foo 作为参数，其值\a（用户数据）不会正确转义。我勒个去！？！它想要\\a。即使我正在使用参数，我也不禁觉得我对 sql 注入持开放态度。

如何正确转义变量中的用户数据？我在 C# 上使用 mysql 并使用 dapper.net

score 0 · Accepted Answer

对于我在此添加的类似陈述

.Replace(@"\", @"\\").Replace(@"_", @"\_").Replace(@"%", @"\%")

1 回答 1