SQL-инъекция, которая обходит mysql_real_escape_string ()

Попробуйте это в MVC 4.0

@Html.TextBoxFor(m => m.YourDate, "{0:dd/MM/yyyy}", new { @class = "datefield form-control", @placeholder = "Enter start date..." })