我保持一段代码,串接SQL查询:和addslashes /逃避单引号在.NET
string sql = "SELECT* FROM table WHERE column = '" + value + "'";
现在事实证明,如果值包含“ characted它会破坏SQL服务器文本语句。我搜索了一下类似PHP addslashes的方法,但没有成功。有Regex.Escape但它并没有伎俩。是否有任何其他的方式来解决这个问题,除了呼吁上串?:
string sql = "SELECT* FROM table WHERE column = '" + value.Replace("'", "''") + "'";
由于更换方法, 帕维尔
你绝对_have_来连接?你不能使用参数吗? – 2011-05-05 14:28:11
需要做大量重构...... – dragonfly 2011-05-05 14:28:38
在我们开始编码时,为什么我们需要一个“首先没有危害”的誓言类型?这种*重构*将极大地帮助您在将来。现在花这些周期来杀死这些技术债务。 – 2011-05-05 14:34:16