那些遇到过的问题

SQL字符串中的单引号处理

JCT*_*TLK 19 .net c# sql escaping

我有一个应用程序,其中文本字段中的值被发送到数据库.

例如,我有一个带有一个字段的表单(文本框).当我按下Ok按钮时,文本字段的内容将作为记录插入到表中.我只是修剪文本框的文本并将其解压缩为变量并将其传递给我的SQL字符串.

问题是,无论何时"It's"或"Friend's"之类的单引号都被标识为字符串的结尾.在Delphi中,我看到过QuotedString要避免这种情况的事情.你的任何想法?

Rob*_*Rob 40

不要像这样构建SQL语句,它非常不安全(阅读本文).使用参数,即:

var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter param  = new SqlParameter();
param.ParameterName = "@firstname";
param.Value         = "testing12'3";
command.Parameters.Add(param);
Run Code Online (Sandbox Code Playgroud)

  • @JCTLK:以正确的方式做到这一点.如果发现它们有用,那么习惯变大的习惯.另外,请保持代码库中充满应该复制的模式,而不是不希望的模式. (11认同)
  • @JCTLK:这并不复杂,从长远来看具有巨大的效益. (10认同)
  • 它甚至可以压缩到1行来添加一个参数:command.Parameters.AddWithValue("@ FirstName","testing12'3"); (4认同)

归档时间:

查看次数:

38299 次

最近记录:

10 年,3 月 前
相关归档
你如何模拟C#中的文件系统进行单元测试? 140
MySQL:如何在查询中添加一天到datetime字段 70
如何保护ASP.NET_SessionId cookie? 58
在C#中调整HttpWebRequest连接超时 48
NSubstitute:使用数组参数检查接收的方法 39
推荐的.NET加密库 19
如何在不使用预准备语句的情况下清理SQL 15
Rails`where`的时间少于查询 15
如果Column1不为null,则按Column1排序,否则按Column2排序 13
TSQL:如何获取用户在Active Directory中所属的组列表 11
难疑归档
如何撤消Git中最近的提交? 20327
JavaScript中使用"严格"做什么,背后的原因是什么? 7339
使用Git版本控制查看文件的更改历史记录 2920
如何将元素移动到另一个元素? 1611
在上传图像之前预览图像 1476
如何为所有浏览器垂直居中div? 1310
对JavaScript对象数组进行排序 1233
UnicodeEncodeError:'ascii'编解码器无法对位置20中的字符u'\ xa0'进行编码:序数不在范围内(128) 1222
\ d效率低于[0-9] 1214
为特定提交生成git补丁 1144