command

command

关注
发信
java - 自动将@JvmStatic和@JvmField应用于Kotlin中的所有文件
python - 耗时后如何更新显示的元素?
java - 如何找到单词流中最频繁出现的单词?
android - 如何在Android&FCM中通过推送通知打开特定 Activity ?
dart - 使用dart网络应用http时获取/设置cookie
java - POJO(普通的旧Java对象)和DTO(数据传输对象)有什么区别?
android - gcm.notification.e = 1代表Android上的推送通知有效载荷是什么?
javascript - moment.js中的差异比较操作
java - 如何在JAVA中减慢线程速度
android - Android:找不到方法com.google.analytics.tracking.android.EasyTracker.getTracker
java - 使用带有空ResultSet的JDBC的临时表
extjs - 找不到记录时,ExtJS网格消息
vb.net - Dim c作为MyClass&Dim c作为New MyClass
html - 固定位置子项时从Bootstrap容器继承宽度
javascript - angularjs中的意外 token %

c# - SQL字符串中的单引号处理

扫码查看

我有一个将文本字段中的值发送到数据库的应用程序。

例如,我有一个带有一个字段的表单(文本框)。当我按“确定”按钮时,文本字段的内容将作为记录插入到表中。我只是修剪文本框并将其文本提取到变量中,然后将其传递给我的SQL字符串。

问题在于,无论何时像“It's”或“Friend's”之类的单引号都被标识为字符串的结尾。在Delphi中,我看到了类似QuotedString这样的东西来避免这种情况。您有什么想法吗?

最佳答案

永远不要那样构建SQL语句,这是非常不安全的(read this)。使用参数,即:

var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter param  = new SqlParameter();
param.ParameterName = "@firstname";
param.Value         = "testing12'3";
command.Parameters.Add(param);

09-30 12:54
查看更多
Powered by LMLPHP ©2025 command 0.033116