我正在使用 MySqlCommand 绑定参数,以便正确转义和清理数据,但我不会直接在生成它的计算机上执行命令。我需要将它作为原始 SQL 发送到另一台执行它的机器。
现在,我正在手动循环参数并替换 CommandText,但这不会产生任何敏感性。有人知道如何生成在 .ExecuteNonQuery() 上发送的 SQL 吗?
这是因为这不仅仅是打电话String.Replace()
关于查询。
参数化查询 http://en.wikipedia.org/wiki/Prepared_statement实际上,RDBMS 的处理方式与普通查询不同,因此它并不像拥有某种“RawQuery”属性那么简单。做到这一点的唯一方法是“自己动手”,使用来自这个答案 https://stackoverflow.com/questions/3479434/sanitizing-sql-data.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)