Как отформатировать строковые параметры перед отправкой в ​​MySql в .NET?

Question

Как проверить строку на предмет неправильного синтаксиса MySQL, вызванного (')?

, например: We Bike бы быстро

Мне нужно избавиться от' перед вставкойв базу данных.

Answer 1

Вы должны использовать MysqlCommand и параметры команды для построения оператора вставки, это сделает экранирование для вас.

В качестве альтернативы есть EscapeString метод, который вы можете использовать.

Answer 2

Вы можете добавить директиву System.Web в ваш файл .cs и использовать HTMLEncode, который заменит ' на &apos, но когда вы прочитаете его обратно, вам придется вызвать HTMLDecode()чтобы преобразовать его обратно в '.

Это вы бы использовали перед созданием параметризованного оператора во внешнем интерфейсе.Затем передайте конечный результат в качестве параметра в sqlCommand.

Answer 3

Простой ответ:

textValue = textValue.Replace("'","''");

Но обычно лучше использовать параметры команды.

См. SqlCommand.Parameters Свойство на MSDN. (Я не знаю, MySql эквивалент)

EDIT:

Пример с заменой:

string sql = String.Format("SELECT * FROM tbl WHERE name ='{0}'",
                           textBox1.Value.Replace("'","''"));