SQLServerで、インジェクション対策や、エスケープ処理を行うのにParameters.Add( sqlStr )が
使いづらいので下記のメソッドを作成しました。
※ネタ元は、右記のURLです。http://msdn.microsoft.com/ja-jp/library/aa302392.aspx
private string escape( string param)
{
string str = param;
str = str .Replace( "'", "''" );
str = str.Replace( "[", "[[]" );
str = str.Replace( "%", "[%]" );
str = str.Replace( "_", "[_]" );
return s;
}
コメント