我保持一段代碼,串接SQL查詢:和addslashes /逃避單引號在.NET
string sql = "SELECT* FROM table WHERE column = '" + value + "'";
現在事實證明,如果值包含「 characted它會破壞SQL服務器文本語句。我搜索了一下類似PHP addslashes的方法,但沒有成功。有Regex.Escape但它並沒有伎倆。是否有任何其他的方式來解決這個問題,除了呼籲上串?:
string sql = "SELECT* FROM table WHERE column = '" + value.Replace("'", "''") + "'";
由於更換方法, 帕維爾
你絕對_have_來連接?你不能使用參數嗎? – 2011-05-05 14:28:11
需要做大量重構...... – dragonfly 2011-05-05 14:28:38
在我們開始編碼時,爲什麼我們需要一個「首先沒有危害」的誓言類型?這種*重構*將極大地幫助您在將來。現在花這些週期來殺死這些技術債務。 – 2011-05-05 14:34:16