飞哥： sql语句里面的冒号不转义

luocaihuang · 发表于 2014-2-15 11:51:57

insert into table('sid','scontent') values('{1}',{2})
{1} 可能会出现带 ' 这个的标点这样会导致这个sql语句插入不了

夜雨蒙蒙 · 发表于 2014-2-15 15:18:37

insert into table(sid,scontent) values({1},{2})
sid 和 scontent 不带单引号'，这两个是列名。
{1}也不带单引号'。
你试试~

luocaihuang · 发表于 2014-2-16 11:36:14

夜雨蒙蒙发表于 2014-2-15 15:18
insert into table(sid,scontent) values({1},{2})
sid 和 scontent 不带单引号'，这两个是列名。
{1}也 ...

不行问题你插入的content 会有sql注入的这种标点符号。
如果有函数可以过滤做下安全机制差不多

夜雨蒙蒙 · 发表于 2014-2-17 12:52:55

luocaihuang 发表于 2014-2-16 11:36
不行问题你插入的content 会有sql注入的这种标点符号。
如果有函数可以过滤做下安全机制差不多

你说的对，如果你那里有好的解决方法了，请告诉我，谢谢~

夜雨蒙蒙 · 发表于 2014-2-17 13:13:06

luocaihuang 发表于 2014-2-16 11:36
不行问题你插入的content 会有sql注入的这种标点符号。
如果有函数可以过滤做下安全机制差不多

字符串数据是用单引号包在外面的，如果插入的数据中包含单引号，就需要处理，你可以将单引号替换成两个单引号，在sql中连续两个单引号就表示一个单引号字符，例如
insert into yourTable(f1,f2) values(100,'ab''c')
表示插入新记录f2字段为ab'c

写成两个单引号''就可以了，我试了下成功了，楼主你试试看行不行！

luocaihuang · 发表于 2014-2-17 18:02:46

夜雨蒙蒙发表于 2014-2-17 13:13
字符串数据是用单引号包在外面的，如果插入的数据中包含单引号，就需要处理，你可以将单引号替换成两个单 ...

真是不行呢，，不过我这样做了把 ’ 替换成了网页编码格式然后再插入

夜雨蒙蒙 · 发表于 2014-2-17 19:02:58

luocaihuang 发表于 2014-2-17 18:02
真是不行呢，，不过我这样做了把 ’ 替换成了网页编码格式然后再插入

那可能是数据库不同吧，我这是在access数据库里面做的，你的是sqlserver吧

luocaihuang · 发表于 2014-2-17 20:15:23

夜雨蒙蒙发表于 2014-2-17 19:02
那可能是数据库不同吧，我这是在access数据库里面做的，你的是sqlserver吧

MDB

		自动登录	找回密码
密码			马上注册

[其他] 飞哥： sql语句里面的冒号不转义