Czy to zapytanie jest bezpieczne w stosunku do wtrysku sql w połączeniu z Dapper? Jeśli nie, jaki byłby właściwy sposób zapisu go w MySql? A może jest lepsza wersja bez użycia concat?Zapytanie Dapper LIKE dotyczące zabezpieczenia MySql przed iniekcją Sql?
string sql = "SELECT * from user_profile WHERE FirstName LIKE CONCAT("%",@name,"%");"
var result = connection.query<profile>(sql, new {name});
To działa, ale zapewnia sever mniej informacji na temat struktury wzoru. Nie masz pewności, czy ma to znaczenie dla wyszukiwania podłańcuchowego, ale z całą pewnością ma na początek - z wyszukiwaniami. – usr
@usr byłoby interesujące profilować to. Nie ma wpływu na inne RDBMS w negatywny sposób. –
Dziękuję wam za odpowiedzi! – Epstone