C# .NET character-encoding special-characters

字符串” ' ”插入数据库时出现问题

发布于 2024-12-12 00:02:17 字数 667 浏览 0 评论 0原文

我正在使用 Windows Phone 的 sqlite 客户端作为我的数据库。我在此代码中遇到了有关文本格式的问题：

cmd.CommandText = @" Insert into Restaurants (address,description,id,latitude,longitude,name,opening_hours,phone,sandwich,price,updated_at,website,score,rating_count,thumbnail_url) values ('" + r.address + "','" + r.description + "',"+r.id +","+r.latitude+","+r.longitude+",'"+r.name+"','"+r.opening_hours+"','"+r.phone+"','"+r.sandwich+"','"+r.price+"','"+r.updated_at+"','"+r.website+"',"+r.score+","+r.rating_count+",'"+r.thumbnail_url+"')";
cmd.ExecuteScalar();

问题是文本字段可能类似于 "xyz it's abc" ，因此 ' 破坏了我的更新命令。我如何保留 ' 并使我的代码运行？

原文

i am using sqlite client for windows phone for my database. I run into an issue regarding text formatting in this code :

cmd.CommandText = @" Insert into Restaurants (address,description,id,latitude,longitude,name,opening_hours,phone,sandwich,price,updated_at,website,score,rating_count,thumbnail_url) values ('" + r.address + "','" + r.description + "',"+r.id +","+r.latitude+","+r.longitude+",'"+r.name+"','"+r.opening_hours+"','"+r.phone+"','"+r.sandwich+"','"+r.price+"','"+r.updated_at+"','"+r.website+"',"+r.score+","+r.rating_count+",'"+r.thumbnail_url+"')";
cmd.ExecuteScalar();

The issue is that the text fields maybe like "xyz it's abc" and so the ' breaks my update command. How can i keep the ' and make my code run?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

无所谓啦 2024-12-19 00:02:17

使用参数代替硬编码字符串（查询）。

cmd.CommandText = @"Insert into Restaurants 
    (address,description,id,latitude,longitude,name,opening_hours,
      phone,sandwich,price,updated_at,website,score,rating_count,thumbnail_url) 
  values 
    (@address,@description,@id,@latitude,@longitude,@name,@opening_hours,
      @phone,@sandwich,@price,@updated_at,@website,@score,
        @rating_count,@thumbnail_url)";

Use Parameter instead of hard coded string (query).

cmd.CommandText = @"Insert into Restaurants 
    (address,description,id,latitude,longitude,name,opening_hours,
      phone,sandwich,price,updated_at,website,score,rating_count,thumbnail_url) 
  values 
    (@address,@description,@id,@latitude,@longitude,@name,@opening_hours,
      @phone,@sandwich,@price,@updated_at,@website,@score,
        @rating_count,@thumbnail_url)";

回复收藏 0 原文

時窥 2024-12-19 00:02:17

不要使用逐字查询字符串（更）容易受到攻击，而是使用参数：

cmd.Parameters.Add("@Param0", SqlDbType.VarChar, 80).Value = "value";

Instead of using a verbatim query string, which is (more) open to attack, use parameters instead:

cmd.Parameters.Add("@Param0", SqlDbType.VarChar, 80).Value = "value";

回复收藏 0 原文

白龙吟 2024-12-19 00:02:17

考虑使用存储过程或参数化查询而不是直接 SQL。这将带来额外的好处，使您的代码不易出现问题。

回复收藏 0 原文

就像说晚安 2024-12-19 00:02:17

您可以通过执行以下操作来转义字符：

cmd.CommandText = cmd.CommandText.Replace("'", "''");

但是以您的方式构建查询可能会导致一些严重的安全风险。请查看以下文章，其中介绍了如何更改动态 sql 以使用 sql 参数：

You could escape the characters by doing something like:

cmd.CommandText = cmd.CommandText.Replace("'", "''");

But building a query the way you do could lead to some serious security risks. Have a look at the following article which describes how to change dynamic sql to use sql parameters:

回复收藏 0 原文

~没有更多了~