连接字符串中两个单引号能省去吗

悬赏园豆：5 [已关闭问题] 关闭于 2010-04-28 20:03

string connectstring = " select * from admin ‘ " + this。textbox1.text + '' ' 中的两个单引号能去吗？为什么？

.NET技术 ASP.NET

时间都去哪了 | 初学一级 | 园豆：51
提问于：2010-04-21 20:19

< >

所有回答(4)

能呀，你里面是要放where条件吗？

"select * from admin where name='"+txtbox.text+"'"，当name字段为字符串型时，你在拼接的时候才用上''单引号。

Astar | 园豆：40805 (高人七级) | 2010-04-21 21:03

在 SQL 中, 单引号用来表示字符串，如果你需要的是字符串，那么，就不能随便省略。

冠军 | 园豆：1086 (小虾三级) | 2010-04-21 21:21

这种写法不太好，容易产生注入问题。如果txtbox.text有个'或者什么别的符号就出错了。用参数吧。

快速开发平台 | 园豆：177 (初学一级) | 2010-04-21 21:39

拼接字符串时 txtbox.text 要写出 txtbox.text.Replace("'", "''")

或如楼上说的用参数。

否则会有注入攻击漏洞。

整个字符串的外部不需要用单引号

eaglet | 园豆：17139 (专家六级) | 2010-04-22 07:32

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。