简短回答:
String myString = "'foo'";
myString = mySTring.Replace("'", "''");
Run Code Online (Sandbox Code Playgroud)
我愿意打赌你调用相同的替换方法,但不将结果存回原始字符串.不要忘记,字符串是不可改变的.字符串上的方法不会操纵字符串本身,而是返回修改后的字符串.
长答案:你应该在查询中使用参数而不是你想要做的事情.通过消除上面替换调用的需要,参数化参数可以使代码更加清晰.它还可以防止注入攻击/错误,从而使您的查询更安全.
SqlCommand query = myConnection.CreateCommand();
query.CommandText = "SELECT * FROM myTable where name = @name";
query.Parameters.Add( new SqlParameter( "name", "john" ) );
Run Code Online (Sandbox Code Playgroud)
| 归档时间: |
|
| 查看次数: |
232 次 |
| 最近记录: |