Einfache Anführungszeichen in einer SQL-Zeichenfolge

Ich habe eine Anwendung, wo die Werte in dem Textfeld werden die an die Datenbank gesendet.

Zum Beispiel habe ich ein Formular mit einem Feld (text-Feld). Wenn ich den Ok-Knopf drücken, dann wird der Inhalt des Textfeldes eingefügt wird als Datensatz in einer Tabelle. Ich bin einfach zuschneiden und extrahieren die text-box mit dem text in variable und übergeben es an meinen SQL-string.

Das problem ist, dass, wenn etwas wie "Es" oder "Freundes", der Apostroph ist identifiziert als das Ende der Zeichenfolge. In Delphi habe ich gesehen so etwas wie QuotedString zur Vermeidung dieser. Irgendwelche Ideen von Euch?

Kommentar zu dem Problem
verwenden Sie Parameter-Abfragen? Kommentarautor: Mitch Wheat
Sie können zwar sicher nur zitieren, Streicher, sollten Sie die Verwendung von parametrisierten Abfragen, wie Mitch schon sagt. Kommentarautor: Gabe
@Frank: ich vermute, er wird sich die Antwort auf seine Frage, anstatt das eigentliche problem. SQL-Injection-hier kommen wir!!!! Kommentarautor: Mitch Wheat
@Frank : ja. es dauert nur ein oder zwei rutschen durch und es ist "helloo little bobby tables!" Kommentarautor: Mitch Wheat
Mitch: Wenn Sie sprechen über die Flucht % in LIKE - Muster, das hat nichts mit SQL-injection und muss manuell gemacht werden, auch mit parametrisierten Abfragen. Kommentarautor: Gabe

InformationsquelleAutor der Frage JCTLK | 2011-01-10

  1. 35

    Nicht immer bauen SQL-Anweisungen so, es ist sehr unsicher (hier Lesen). Die Parameter verwenden, ich.e:

    var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter param  = new SqlParameter();
param.ParameterName = "@firstname";
param.Value         = "testing12'3";
command.Parameters.Add(param);

    InformationsquelleAutor der Antwort Rob

  2. 0

    Verwenden .Replace("'","''''")

    Beispielsweise 

    string name = txtName.Text.Replace("'","''''");

    Nun name übergeben werden können, als parameter in der gespeicherten Prozedur etc.

    InformationsquelleAutor der Antwort Muzammil Tamboli

  3. -2

    Hoffe, dies wird Ihnen helfen, ... 

    public static string DoQuotes(string sql)
    {
        if (sql == null)
            return "";
        else
            return sql.Replace("'", "''");
    }

    InformationsquelleAutor der Antwort Buddhi Dananjaya

Schreibe einen Kommentar