SQL语句中的单引号处理以及模糊查询

最新推荐文章于 2023-01-06 14:36:53 发布
最新推荐文章于 2023-01-06 14:36:53 发布
阅读量1.7k 收藏
点赞数
文章标签: sql c# 数据库 java

转帖地址:http://www.cnblogs.com/Daylight/archive/2008/10/06/1305039.html

 

为了防止程序SQL语句错误以及SQL注入,单引号必须经过处理。有2种办法:

1、使用参数,比如SELECT * FROM yourTable WHERE name = @name;

在C#中使用SqlParameter parameter = new SqlParameter("@name", objValue);来添加参数,懒得写SqlDbType这东西了,因为不写也完全可以,只需要参数名和值。

在JAVA中就是用预处理PreparedStatement来添加参数。

2、如果不用参数,而用字符串拼接的话,单引号必须经过判断并替换,在数据库中,用2个单引号代表1个实际的单引号。所以,如果是拼接方式,需要用String.Replace("'", "''")来替换一下,将1个单引号替换为2个就没有问题了。

再说一下C#中的模糊查询,为了避免单引号,我们使用参数的方式,下面的语句是不对的:

SELECT * FROM yourTable WHERE name LIKE '%@name%';在这个句子中,'%@name%'被整体当作一个字符串来处理,你无论如何查询不到结果。修改一下,SELECT * FROM yourTable WHERE name LIKE @name;然后添加参数的时候这么添加:

new SqlParameter("@name", "%" + categoryName + "%"); 这下就没问题了,正常查询,你输单引号照样查。

 

CCTV_HU
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql语句单引号,双引号处理方法
12-15
下面我们就分别讲述,虽然说的是Insert语句, 但是Select、Update、Delete语句都是一样的。 假如有下述表格: mytabe 字段1 username 字符串型(姓名) 字段2 age 数字型(年龄) 字段3 birthday 日期型...
sql查询条件字符串包含单引号处理
agrapea的博客
09-21 5041
今天在写sql语句时遇到一个语法错误,导致执行到那一行就失败。以上是完全没有问题的,但是如果过滤的字段名称包含单引号。将字符串单引号前面再增加一个单引号,如下。这样就没办法执行了,
SQL模糊查询语句拼接时单引号'问题
balangzhan6550的博客
03-03 826
下面以存储过程查询所有为例,非存储过程(或不是查询所有将*替换为你想要查询的列即可)更为简单, 语法:select * from 表名 where 列名like'%条件%' 拼接后的set @变量名 = 'select * from 表名 where ' + @条件 + ' like ' + '''' + '%' + @传入的值 + '%'+''''       --① 例如:s...
SQL怎么实现模糊查询
热门推荐
学而不思则忘
12-06 2万+
模糊查询的语句一般如下: SELECT 字段 FROM 表 WHERE 某字段 LIKE 条件; 关于条件部分,有以下匹配模式: 1. %:表示零个或多个字符。 可以匹配任意类型和任意长度的字符,有些情况下若是文,请使用两个百分号(%%)表示。 select * from user where username like '%张%'; 将会把user这张表里面,列名username含有张的记录全部查询出来。 如果需要找到user这张表里面,字段username既有张,又有李的记录,可以使用and
java 正则 贪婪匹配 匹配sql语句引号内容
weixin_30293079的博客
07-07 157
java 正则 贪婪匹配 匹配sql语句引号内容 public class Demo { public static void main(String[] args) { String sql1 = "use test;select * from default.abc where dt='abc;faf;fff' ...
sql语句实现模糊查询
zhaoguofeng996的博客
01-06 3297
like模糊查询
解决python 执行sql语句时所传参数含有单引号的问题
01-21
执行语句如下: sql_str = INSERT INTO teacher(t_name, t_info, t_phone, t_email) VALUES\ (\'%s\', \'%s\', \'%s\', \'%s\') % (result, result2, phoneNumber, Email) cur.execute(sql_str) 执行程序后,产生...
SQL存储过程SQL语句单引号和双引号问题[总结].pdf
10-12
SQL存储过程SQL语句单引号和双引号问题[总结].pdf
sql查询之模糊查询
youhebuke225的博客
09-06 1万+
这里可以参照一下、like%以上第一个sql语句与第二个sql语句相同,第三个sql语句属于半匹配,他会匹配所有开后是孙的名字我们比较常用的是 % 当然也会有其他的匹配模式。
sql server数据库模糊查询语句
10-27
部分内容“sql server数据库模糊查询语句, ...[ ] 通配符的示例。...使用 ESCAPE 关键字定义转义符 ”
C#模糊查询Sql语句
11-20
文档片段 是关于C#模糊查询sql 关于vb,c#模糊查询用的通配符问题
SQL语句之基础查询、条件查询、模糊查询 like[DQL内容部分]
心态的博客
05-17 3058
SQL语句之基础查询、条件查询、模糊查询 like[DQL内容部分]
SQL通配符及模式匹配
SmartyIdiot的专栏
03-04 9764
前提,MS SQL的通配符含义:序号通配符含义示例1%包含零个或多个字符的任意字符串。  WHERE title LIKE %computer% 将查找在书名任意位置包含单词"computer" 的所有书名。 2_任何单个字符。WHERE au_fname LIKE _ean 将查找以 ean 结尾的所有
SQL语句实现模糊查询
m0_67391120的博客
09-12 4186
深知大多数初Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
mysql模糊查询的用法
笑一阁
03-20 1668
下面介绍mysql模糊查询的四种用法: 1,%:表示任意0个或多个字符。可匹配任意类型和长度的字符,有些情况下若是文,请使用两个百分号(%%)表示。   比如 SELECT * FROM [user] WHERE u_name LIKE '%三%'   将会把u_name为“张三”,“张猫三”、“三脚猫”,“唐三藏”等等有“三”的记录全找出来。   另外,如果需要找出u_nam
mybatis模糊查询sql语句
最新发布
05-25
上面的SQL语句会查询所有名字包含“张”的用户。 通配符_表示一个任意字符,例如: ```sql SELECT * FROM users WHERE phone LIKE '138%2_'; ``` 上面的SQL语句会查询所有手机号以“138”开头,并且第五位为2的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值