当前位置：文江博客话题详情

sql 字符串参数中应转义哪些字符

发布于 2024-07-26 11:33:03 字数 103 浏览 5 评论 0原文

我需要一个完整的字符列表，这些字符应该在 sql 字符串参数中转义以防止异常。我假设在将所有有问题的字符传递给 ObjectDataSource 过滤器参数之前，我需要将其替换为转义版本。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

刘备忘录 2024-08-02 11:33:03

不，ObjectDataSource 将为您处理所有转义。任何参数化查询也不需要转义。

回复收藏 0 原文

亚希 2024-08-02 11:33:03

正如其他人指出的，在 99% 的情况下，如果有人认为他们需要问这个问题，他们就做错了。参数化是必经之路。如果您确实需要自己转义，请尝试查明您的数据库访问库是否提供了此功能（例如，MySQL 有 mysql_real_escape_string）。

回复收藏 0 原文

天涯离梦残月幽梦 2024-08-02 11:33:03

SQL 在线书籍：
搜索字符串文字：

字符串文字

字符串文字由零个或多个用引号引起来的字符组成。如果字符串包含引号，则必须将其转义才能解析表达式。字符串中允许使用除 \x0000 之外的任何两字节字符，因为 \x0000 字符是字符串的空终止符。

字符串可以包含需要转义序列的其他字符。下表列出了字符串文字的转义序列。

\A
警报

\b
退格键

\f
换页符

\n
新行

\r
回车符

\t
水平制表符

\v
垂直制表符

\"
引号

\
反斜杠

\xhhhh
十六进制表示的 Unicode 字符

回复收藏 0 原文

空城之時有危險 2024-08-02 11:33:03

这是我用来摆脱撇号的方法。您可以对遇到的其他冒犯角色做同样的事情。（VB.Net 中的示例）

Dim companyFilter = Trim(Me.ddCompany.SelectedValue)

If (Me.ddCompany.SelectedIndex > 0) Then
      filterString += String.Format("LegalName like '{0}'", companyFilter.Replace("'", "''"))
End If

Me.objectDataSource.FilterExpression = filterString

Me.displayGrid.DataBind()

Here's a way I used to get rid of apostrophes. You could do the same thing with other offending characters that you run into. (example in VB.Net)

Dim companyFilter = Trim(Me.ddCompany.SelectedValue)

If (Me.ddCompany.SelectedIndex > 0) Then
      filterString += String.Format("LegalName like '{0}'", companyFilter.Replace("'", "''"))
End If

Me.objectDataSource.FilterExpression = filterString

Me.displayGrid.DataBind()

回复收藏 0 原文

~没有更多了~