¿Esta consulta es segura contra la inyección sql en combinación con Dapper? Si no, ¿cuál sería la forma correcta de escribirlo en MySql? ¿O hay una versión mejor sin usar concat?Pregunta Dapper LIKE para MySql safe contra Sql Injection?
string sql = "SELECT * from user_profile WHERE FirstName LIKE CONCAT("%",@name,"%");"
var result = connection.query<profile>(sql, new {name});
Esto funciona, pero proporciona el Sever con menos información sobre la estructura del patrón. No estoy seguro de si esto importa para las búsquedas de subcadenas, pero definitivamente lo hace para las búsquedas de inicio. – usr
@usr sería interesante hacer un perfil de eso. No afecta a otros RDBMS de forma negativa. –
¡Gracias a ambos por sus respuestas! – Epstone