那些遇到过的问题

SQL字符串中的单引号处理

JCT*_*TLK 19 .net c# sql escaping

我有一个应用程序,其中文本字段中的值被发送到数据库.

例如,我有一个带有一个字段的表单(文本框).当我按下Ok按钮时,文本字段的内容将作为记录插入到表中.我只是修剪文本框的文本并将其解压缩为变量并将其传递给我的SQL字符串.

问题是,无论何时"It's"或"Friend's"之类的单引号都被标识为字符串的结尾.在Delphi中,我看到过QuotedString要避免这种情况的事情.你的任何想法?

Rob*_*Rob 40

不要像这样构建SQL语句,它非常不安全(阅读本文).使用参数,即:

var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter param  = new SqlParameter();
param.ParameterName = "@firstname";
param.Value         = "testing12'3";
command.Parameters.Add(param);
Run Code Online (Sandbox Code Playgroud)

  • @JCTLK:以正确的方式做到这一点.如果发现它们有用,那么习惯变大的习惯.另外,请保持代码库中充满应该复制的模式,而不是不希望的模式. (11认同)
  • @JCTLK:这并不复杂,从长远来看具有巨大的效益. (10认同)
  • 它甚至可以压缩到1行来添加一个参数:command.Parameters.AddWithValue("@ FirstName","testing12'3"); (4认同)

归档时间:

查看次数:

38299 次

最近记录:

10 年,5 月 前
相关归档
如何使用Entity Framework Core模拟异步存储库 61
如何在MySQL中回滚我的最后一个删除命令? 52
如何从字符串末尾删除后缀? 39
为什么MSFT C#编译固定的"数组到指针衰减"和"第一个元素的地址"不同? 25
如何在实体框架中使用String属性作为主键 20
我的流程在等待输入吗? 18
使用desc后sql server逆序 18
System.Diagnostics.TraceSource中的跟踪输出格式 18
在数据可能存在或不存在时连接表 15
如何使用SQL表填充DataTable 14
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
如何更改远程Git存储库的URI(URL)? 3529
如何将多行中的文本连接成SQL Server中的单个文本字符串? 1813
什么是JavaBean? 1677
我怎样才能找到带有Mathematica的Waldo? 1538
无法打开与身份验证代理的连接 1473
什么是monad? 1373
window.onload vs $(document).ready() 1205
从Docker容器内部,如何连接到本机的本地主机? 1176
LF将被git中的CRLF取代 - 这是什么,它是否重要? 1146