SQL中单引号的转义

最新推荐文章于 2021-02-07 12:48:01 发布
最新推荐文章于 2021-02-07 12:48:01 发布
阅读量346 收藏 1
点赞数
文章标签: 数据库

很多时候,在数据库中某表某字符字段中,要存储的数据内容会含有单引号,比如下面:

string name = GetNameById(id);
string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);

这样真的没问题吗?

假设name获取的字面值是这样的:O'neal;这条语句数据库执行会报错!

我们看看数据库端执行的sql语句内容是怎样的:     update cover_diagnose set name = 'O'neal' where id = 48951

很明显,数据库将字符 'O' 两端的单引号作为了字符的两个边界,而后面紧跟的那些代码则出现了编译的错误,无法执行.

因此,为了避免这种情况的发生,我们应该在后台代码中过滤这些字符串,获得正确的格式!

static void Main(string[] args)
{
    string name = GetNameById(id);
    name = StrFilter(name);
    string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);
}
 
public static string StrFilter(string str)
{
    if (string.IsNullOrEmpty(str))
    {
        return null;
    }
    else
    {
        if (str.Contains("'"))
        {
            str = str.Replace("'", "''"); // 将单引号转义为双单引号 ''
            return str;
        }
        else
        {
            return str;
        }
    }
}

 

       当然,这只是处理这一情况的一种特殊方式。更为合理的处理方式是存储过程和参数化SQL语句。这 2 种方式既可以避免 SQL 注入攻击的问题,还能提升数据库任务的性能,这才是最应该推荐的标准做法!此文就不详细介绍了,在 ASP.NET 4.0 分类随笔中有关于这 2 种 方式的详细介绍。

weixin_34380948
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL单引号转义
二木成林
08-15 1万+
如果我们查找字段带有单引号的记录,如下面这种: 查找username为lisi's的记录,我们按照通常的查询SQL是这样的: select * from user where username='lisi's'; 很明显,报错了,因为它单独把"lisi"当作一个字符串来进行匹配了,而不是"lisi's"这个字符串。 解决就是将单引号进行转义,在SQL单引号进行转义的字符也是一个单引号。 所以将"lisi's"改为"lisi''s",在原来的基础上添加一个单引号,对原单引号进行转..
SQL 转义字符
燕窝
03-07 5471
C++ 的转义字符是:/SQL转义字符是:(单引号)例:select * from tbl where uyear=06请注意其红色背景的单引号,它即表示转义字符,如果我们省略,则整个语句会出错,转义字符不会输出,上例 uyear 的实际条件值为 06,而不是 06为什么不能省略呢,假如我们省略,上句变成:select * from tbl where uy
sql serversql语句单引号怎么转义
acq56639的博客
05-15 689
sql server有两个转义符: ' 默认情况下, '是字符串的边界符, 如果在字符串包含', 则必须使用两个', 第1个'就是转义符另一个转义符是"当SET QUOTED_IDENTIFIER OFF时, "是字符串边界符, 字符串的"必须用两个"表示。vb: "" <=> "sql server 2000: ''' <=> ' eg:...
SQL 转义字符 单引号
热门推荐
jonnyha的博客
10-12 3万+
SET @sql = CONCAT('select * from table',' where in_time ','\'',iv_start_time,'\'',' order by ''批次'' limit ',iv_page_index,',',iv_page_size); ' \' ' 解析为' ' \" ' 解析为"
SQL单引号转义
Devilhand
08-23 568
create proc TestPro (@conditon varchar(50)) as declare @sql varchar(1000) set @sql='select * from test' if @conditon!='' set @sql=@sql+' where name='''+@conditon+''''--''转义成' exec(@sql) go -...
浅谈oracle单引号转义
12-16
ORACLE 单引号转义: 在ORACLE单引号有两个作用:   1:字符串是由单引号引用   2:转义。  单引号的使用是就近配对,即就近原则。而在单引号充当转义角色时相对不好理解  1.从第二个单引号开始被视为...
sql语句单引号嵌套问题(一定要避免直接嵌套)
09-10
SQL语句单引号的嵌套和转义是一个常见的问题,特别是在处理字符串时。这是因为SQL使用单引号来定义字符串的开始和结束。当你需要在字符串内包含一个单引号时,直接嵌套单引号会导致语法错误。在标题和描述...
SQL Server单引号的两种处理技巧
03-03
总结,处理SQL Server单引号问题的关键在于理解转义字符的概念以及如何利用参数化查询的优势。在实际编程,推荐使用参数化查询,以提高性能和安全性。同时,为了防止SQL注入攻击,应避免直接在SQL语句拼接用户...
sql sever sql语句单引号转义
weixin_34018169的博客
12-21 516
2019独角兽企业重金招聘Python工程师标准>>> ...
转义】使用SQL生成SQL语句时单引号转义处理
cuanchuwei1207的博客
02-28 526
“使用SQL语句生成SQL语句”是一个非常实用的技巧。在感受这个技巧带给我们便利的同时,也要注意使用过程的一个小拦路虎——对“单引号”的特殊处理。我们需要对单引号给予特殊的关照,Oracle在单引号转义单引号的方法:两个单引...
sql查询也要注意单引号转义字符
weixin_41893060的博客
11-29 2438
select domain_force from ir_rule where name = 'res_partner: portal/public: read access on my commercial partner'; update  ir_rule  set domain_force ='[(''id'', ''child_of'', user.commercial_partner_i...
SQL转义字符是:'(单引号
日常笔记/总结/系列知识梳理
01-31 1万+
SQL转义字符是:’(单引号) 例:select * from tbl where uyear=”’06’ 请注意其红色背景的单引号,它即表示转义字符,如果我们省略,则整个语句会出错,转义字符不会输出,上例 uyear 的实际条件值为 ‘06,而不是 ”06 为什么不能省略呢,假如我们省略,上句变成:select * from tbl where uyear=”06’ 由于在 SQ
sql单引号替换为常规字符转义
weixin_45286744的博客
06-28 1101
string a=传进来的参数 string sql ="select * from student where name like '%"+a+"%'" 今天遇到了一个小bug 如果 a正常传值 的话这条sql是正常的。但是如果a传递的值不正常 。例如 a=" 张三’ " 这时候sql 就变成了 select * from student where name like '%张三'%' 这时候需要把 “ ’ ” 这个单引号转义 if(a.contains("'")) { a =
SQL拼接字符串时单引号转义问题 单引号转义字符
weixin_30859423的博客
12-27 2736
要拼接一个单引号到已有字符串前后, 开始以为(错误)可以用 \ 转义,如下: '\''+ str+'\'' 看颜色就知道是不行的。 正确方法是两个单引号转义单引号,如下: ''''+str+'''' 转载于:https://www.cnblogs.com/dyhao/p/10183085.html...
sql serversql语句单引号转义
hwj1107的专栏
06-08 1262
sql server有两个转义符: 默认情况下, 是字符串的边界符, 如果在字符串包含, 则必须使用两个, 第1个就是转义符 另一个转义符是" 当SET QUOTED_IDENTIFIER OFF时, "是字符串边界符, 字符串的"必须用两个"表示。 vb: "" "sql server 2000: eg:declare @SearchType nvarc
mysql sql语句单引号处理_使用SQL生成SQL语句时单引号转义处理之q'{}'方法
weixin_34585343的博客
02-07 1060
在使用SQL生成SQL技术完成维护任务的过程,会遇到类似单引号这样的字符需要转义,给脚本编写带来了些许的麻烦。一般处理单引号转义是通过“两个单引号表示一个单引号”的规则完成转义。这种方法在在文章《【转义】使用SQL生成SQL语句时单引号转义处理》(http://space.itpub.net/519536/viewspace-628186)已经给出描述和应用。当一句话出现多个单引号,频繁转...
SQL单引号转义字符
weixin_30745641的博客
12-14 608
SQL转义字符是:'(单引号) 例:select * from user where name = '''06' 其红色的单引号即表示转义字符,上例 name的实际条件值为 '06,而不是 ''06 如果我们省略,则整个语句会出错,上句变成:select * from userwhere name= ''06' 由于在SQL单引号表示字符串的开始和结束符号,于是SQL解...
mysql语句单引号_sql serversql语句单引号怎么转义
weixin_35027170的博客
01-28 137
sql server有两个转义符:' 默认情况下, '是字符串的边界符, 如果在字符串包含', 则必须使用两个', 第1个'就是转义符另一个转义符是"当SET QUOTED_IDENTIFIER OFF时, "是字符串边界符, 字符串的"必须用两个"表示。vb: "" <=> "sql server 2000: ''' <=> 'eg:declare @SearchTy...
sql转义字符单引号
weixin_30878361的博客
01-03 455
SQL,我们都知道单引号 ' 表示字符串的开始和结束符号,如: select * from students where name = '小明'; 但如果字符串里面有单引号时,应该怎么查询呢? 这是我最近遇到的一个问题,需求是对一张表的数据进行更新,但各个环境的数据并不一致,只能通过拼接的方式生成适合对应环境的变更脚本。更新语句格式如下: 1 update students...
mapper文件单引号转义
最新发布
05-20
在 MyBatis 的 mapper 文件,如果需要在 SQL 语句使用单引号字符,可以使用反斜杠对其进行转义。例如: ``` SELECT * FROM user WHERE name = '#{name}' OR nickname = '\'#{name}\'' ``` 在上述例子,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值