转义SQL查询 - 支持.Net中的不同数据库平台

Question

是否有.Net项目/ dll，支持用户提供的输入到各种数据库系统的数据库查询转义？

我希望我们的整个团队能够标准化和使用一个模块来执行转义用户提供的输入，然后将用于参数化SQL查询。

理想情况下，我想在配置文件中指定数据库系统（oracle，SqlServer，mySql等），并且能够调用Escape（variableName），并且它会根据当前数据库设置转义字符串内容在web.config文件中。

如果没有，未来最好的事情会是这样的EscapeForOracle，EscapeForSqlServer等

在最低限度的项目应该支持Oracle，SqlServer的和MySQL。

我想知道如果我需要创建这个内部或如果现有的商业/开源产品存在做到这一点。

Answer 1

我不认为你会需要这样的事情。

运行参数化查询/存储过程时，请使用参数集合。
指定适当的数据类型，长度，精度&提供有效值。
转义将由DB提供者完成。

让我知道，如果我没有正确理解你的问题。

Answer 2

在.NET中，可以使用DbReader和DbConnection等通用类而不是SqlConnection。像shahkalpesh和Lasse V. Karlsen说的，你可以使用参数，框架或驱动程序将处理你的逃跑。但实际上，如果您希望为Oracle和Sql Server开发产品，那么您就是在讨论主要开销。正确转义仅仅是冰山一角。如果你还没有安装Oracle和Sql Server测试服务器，你可能还没有开始:)