SQL特殊字符处理

转自：http://hi.baidu.com/yaohui520/blog/item/95f050d0ee496784a1ec9c4a.html

 

用户输入如果没有任何限制的话，则必须对特殊字符进行变换。
如果对单引号不进行变换，则会发生数据库错误，甚至可能导致系统崩溃。
不过回避方法却非常简单，只要将单引号[']转换成两个单引号['']就可以了。
例：SELECT * FROM TBL WHERE COL = 'ABC''DEF';
模糊查询的语句虽然不会发生SQL错误，但是不进行回避的话，则无法得到要检索的值。
回避方法较单引号复杂。需要使用转义符。将[%]转为[/%]、[_]转为[/_]，
然后再加上[ESCAPE '/']就可以了。
例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_%' ESCAPE '/';
　　※最后一个%是通配符。
如果做日文项目的话，会出现全角字符的[％]、[＿]，
而这两个全角字符同样会作为半角通配符处理。
所以在变换时，同时需要将全角的[％]、[＿]进行变换。
例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/％/＿%' ESCAPE '/';
变换成这样似乎结束了，可是不要忘了还有转义符自身，万一用户输入转义符的话，
以上的处理就会发生SQL错误。所以也必须对转义符进行变换。变换方法就是将[/]转换为[//]。

例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/％///＿%' ESCAPE '/';
以上的操作都针对于一般的数据类型，如CHAR、VARCHAR2。
如果出现NCHAR、NVARCHAR2的话，以上的处理就会出现ORA-01425错误。

如果改成以下写法，则会发生ORA-01424错误。
SELECT * FROM TBL WHERE COL LIKE '%/＿%' ESCAPE TO_NCHAR('/')
正确的写法应该是
SELECT * FROM TBL WHERE COL LIKEC '%/＿%' ESCAPE TO_NCHAR('/')

最后要说明的是每个like都应该写ESCAPE语句。
例：
SELECT * FROM TBL
WHERE COL1 LIKE '%/＿%' ESCAPE '/' OR COL2 LIKE '%/＿%' ESCAPE '/'

在sql语句中，有些特殊字符，是sql保留的。比如 ' [ ] 等。我们可以先看看它们的用法。

当需要查询某数据时，加入条件语句，或着当你需要insert记录时，我们用 ' 来将字符类型的数据引起来。比如：
Select * from Customers where City = 'London'

当表的名字或列的名字中，含有空格等一些特殊字符时，我们需要用[] 将表名引起来，告诉语法分析器，[]号内的才是一个完整的名称。比如

Select * from [Order Details]

如果，字符数据中，含有 ' 改怎么办呢？其实，好多人在这里并没有处理字符川中 ' 符号，才造成sql 注射危险。就那上面的那个例子。在Sql语句拼接的时代，比如

string sql = "select * from Customers where CustomerID = '" + temp + "'";

如果，我给temp赋值为 Tom' or 1=1 ---
那么你拼接起来的语句为 select * from Customers where CustomerID = 'Tom' or 1=1 --- '
哈哈，1=1 衡为真，---会把后面的sql语句注释掉。而前面因为有输入的 ' 而使的语句是合法的。那or的条件，会把所有的记录都选出来。这就是sql注入。在做用户登陆时，如果没有处理该问题，那你的系统受危害的可能性会很高的。
如何处理字符数据中的 ' 符号呢？ 方法很简单，用两个 ' 符号代替一个。 比如，其实际传入的值为Lon'don，处理后为
Select * from Customers where City = 'Lon''don'
就可以了。

如果表或列的名称中含有 [ 或 ] 字符呢？比如Select * from [Order] Details]，那中间 ] 符号岂不是先和第一个[ 配了。后面的就是非法的了。怎么办呢？ 简单，使用 ]] 代替 ] 。对于[，则无须处理。那就该为
Select * from [Order]] Details]。