我有一个将文本字段中的值发送到数据库的应用程序。
例如,我有一个带有一个字段的表单(文本框)。当我按“确定”按钮时,文本字段的内容将作为记录插入到表中。我只是修剪并将文本框的文本提取到变量中,然后将其传递给我的SQL字符串。
问题是,无论何时像“ It’s”或“ Friend’s”之类的单引号都被标识为字符串的结尾。在Delphi中,我看到了QuotedString避免这种情况的方法。您有什么想法吗?
QuotedString
永远不要那样构建SQL语句,这是非常不安全的(请阅读此内容)。使用参数,即:
var command = new SqlCommand("select * from person where firstname = @firstname"); SqlParameter param = new SqlParameter(); param.ParameterName = "@firstname"; param.Value = "testing12'3"; command.Parameters.Add(param);
