那些遇到过的问题

一个简单的SQL问题:使用包含'字符的文本字符串创建SQL插入语句

Kas*_*sen 1 c# sql

我遵循的语法

INSERT INTO Table1
VALUES (value1, value2, value3…)
Run Code Online (Sandbox Code Playgroud)

到目前为止这个工作得很好.但现在我有一些包含普通英文文本的值,比如"我要回家了".'字符破坏了C#中的SQL命令.我写了以下内容:

command.CommandText = "INSERT INTO Bio VALUES ('" + name + "','"I'm going home" + "');
Run Code Online (Sandbox Code Playgroud)

评估为

INSERT INTO Bio VALUES ('Peter','I'm going home')
Run Code Online (Sandbox Code Playgroud)

这显然是行不通的.如何确保特殊字符不会破坏SQL语句?

Pet*_*hev 8

使用SqlParameter在上帝的份.否则,您的程序将容易受到SQL注入攻击.它还将解决您的特殊字符问题.

  • 除此之外,参数化查询更有可能从优化中受益 - 预编译,服务器端缓存等. (3认同)

归档时间:

查看次数:

1547 次

最近记录:

14 年,3 月 前
相关归档
MySQL查询GROUP BY日/月/年 609
ASP.NET Core Web API异常处理 230
Guid全是0(零)? 224
CTE和SubQuery之间的区别? 135
在.NET中从URL读取字符串的最简单方法 105
将DateTime转换为UTC时遇到问题 56
从另一个中减去通用列表 53
System.Web.HttpContextBase'不包含带有Elmah Logging的'当前'MVC 4的定义 47
如何释放可能的Postgres行锁? 35
COUNT(DISTINCT column_name)SQL Server 2008中的差异与COUNT(column_name)? 12
难疑归档
如何在Windows上安装pip? 2469
数据库索引如何工作? 2335
一次捕获多个异常? 2015
npm package.json文件中依赖项,devDependencies和peerDependencies之间有什么区别? 1872
使用jQuery获取当前URL? 1761
C#的隐藏功能? 1475
JavaScript中是否有"null coalescing"运算符? 1305
检查Ruby中的数组中是否存在值 1258
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070
获取Android上的当前时间和日期 1058