sql 中的特殊字符如何处理，请教！

悬赏园豆：5 [已解决问题] 解决于 2010-10-11 09:51

select * from Info where name=' ”+ textbox1.text + '''";

当这个文本框的值含特殊字符时如何处理？

数据库 SQL Server

hovering | 初学一级 | 园豆：38
提问于：2010-10-09 17:58

< >

最佳答案

select * from Info where name=@name;

SqlParameter param=new SqlParameter("@name",textbox1.text);

收获园豆：5

慧☆星 | 大侠五级 |园豆：5722 | 2010-10-10 16:38

忘了还有一个条件，我用封装好的数据库处理动作，它没有这个传递参数的试合的方法

hovering | 园豆：38 (初学一级) | 2010-10-11 09:00

其他回答(3)

可以试试escape转义符

邀月 | 园豆：25475 (高人七级) | 2010-10-09 20:20

你说的不适用啊，我的特殊字符我也不知道用户会输入什么样的特殊字符，另外位置也不确定，我如何放置这个转义字符呢？

支持(0) 反对(0) hovering | 园豆：38 (初学一级) | 2010-10-11 08:56

使用绑定变量，不要拼接SQL。

killkill | 园豆：1192 (小虾三级) | 2010-10-10 10:54

textbox1.text外面再加一个过滤函数(如：sql注入、HTML过滤、业务逻辑验证等)。

Astar | 园豆：40805 (高人七级) | 2010-10-11 09:55

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。