SQL中单引号的转义

很多时候,在数据库中某表某字符字段中,要存储的数据内容会含有单引号,比如下面:

string name = GetNameById(id);
string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);

这样真的没问题吗?

假设name获取的字面值是这样的:O'neal;这条语句数据库执行会报错!

我们看看数据库端执行的sql语句内容是怎样的:     update cover_diagnose set name = 'O'neal' where id = 48951

很明显,数据库将字符 'O' 两端的单引号作为了字符的两个边界,而后面紧跟的那些代码则出现了编译的错误,无法执行.

因此,为了避免这种情况的发生,我们应该在后台代码中过滤这些字符串,获得正确的格式!

static void Main(string[] args)
{
    string name = GetNameById(id);
    name = StrFilter(name);
    string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);
}
 
public static string StrFilter(string str)
{
    if (string.IsNullOrEmpty(str))
    {
        return null;
    }
    else
    {
        if (str.Contains("'"))
        {
            str = str.Replace("'", "''"); // 将单引号转义为双单引号 ''
            return str;
        }
        else
        {
            return str;
        }
    }
}

 

       当然,这只是处理这一情况的一种特殊方式。更为合理的处理方式是存储过程和参数化SQL语句。这 2 种方式既可以避免 SQL 注入攻击的问题,还能提升数据库任务的性能,这才是最应该推荐的标准做法!此文就不详细介绍了,在 ASP.NET 4.0 分类随笔中有关于这 2 种 方式的详细介绍。

posted on 2012-04-06 20:25  SkySoot  阅读(7737)  评论(0编辑  收藏  举报

导航