Mysql
 sql >> база данни >  >> RDS >> Mysql

mysql_real_escape_string() в .NET Framework

Защо искаш да направиш това? Правилният начин за изпращане на въведена от потребителя информация към базата данни не е да я избягвате, а да използвате параметри на заявката .

using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
    command.Parameters.Add("@x", textBoxX.Text);
    command.Parameters.Add("@y", textBoxY.Text);
    command.ExecuteNonQuery();
}

Това осигурява по-добра производителност, тъй като текстът на заявката е винаги един и същ, така че планът за изпълнение на заявката може да бъде кеширан. Това също ви предпазва от атаки с инжектиране на SQL. Освен това ви позволява да игнорирате проблеми с форматирането на данните (например как се форматира DateTime в SQL-Server? Как трябва да представяте число в SQL? и така нататък)




  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Ограничете броя на страницата с пагинация

  2. Трябва да се дефинира името на параметъра на заявката в Sql

  3. Коя MySQL заявка е по-бърза?

  4. Как да генерирам серия от средни почасови стойности в MySQL?

  5. Намиране на най-близкото числово съвпадение в база данни с това, което потребителят е въвел в php