转义 SQL 查询 - 支持 .Net 中的不同数据库平台

Question

是否有一个 .Net 项目/dll，支持转义用户提供的输入以进行各种数据库系统的数据库查询？

我希望我们整个团队能够标准化并使用一个模块来执行用户提供的输入的转义，然后将其用于参数化 SQL 查询。

理想情况下，我想在配置文件中指定数据库系统（oracle、SqlServer、mySql 等），并能够调用 Escape(variableName)，它会根据 web 中当前的数据库设置转义字符串内容。配置文件。

如果没有，下一个最好的办法就是 EscapeForOracle、EscapeForSqlServer 等。

该项目至少应该支持 Oracle、SqlServer 和 MySql。

我想知道我是否需要在内部创建这个，或者是否存在现有的商业/开源产品来执行此操作。

Answer 1

我认为你不需要这样的东西。

运行参数化查询/存储过程时，请使用参数集合。
指定适当的数据类型、长度、精度和 提供有效值。
转义将由数据库提供者完成。

如果我没有正确理解你的问题，请告诉我。

Answer 2

在 .NET 中，您可以使用 DbReader 和 DbConnection 等通用类来代替 SqlConnection。 就像 shhkalpesh 和 Lasse V. Karlsen 所说，您可以使用参数，框架或驱动程序将为您处理转义。

但实际上，如果您希望为 Oracle 和 Sql Server 开发产品，那么您所讨论的开销就很大。 正确逃脱只是冰山一角。 如果您还没有安装 Oracle 和 Sql Server 测试服务器，那么您可能还没有开始:)