ColdFusion的单引号问题与SQL查询

Question

在我的ColdFusion 11的应用程序，使用SQL Server 2008 R2，我下面一个CF组件内CFQUERY标签：

<cfquery name="result_set" dataSource="#request.dsn_name#"> 
    select name, state from myTable #REReplace(where_clause,"''","'","ALL")#   
</cfquery> 

这里where_clause是一个变量。 CF用两个单引号替换，因此我使用REReplace函数将两个单引号替换为一。所以我的查询会改变，例如从

select name, state from myTable WHERE name IN (''ABC'') 

这样：

select name, state from myTable WHERE name IN ('ABC') 

问题是，当一个名字列值包含一个单引号为好。例如。

select name, state from myTable WHERE name IN ('Smith's bat') 

在这种情况下查询失败。我该如何解决这些问题。我尝试了PreserveSingleQuotes，但它具有相同的问题，其中列的值使用单引号。

UPDATE

这个程序使用的ColdFusion MX 7原作者是创建基于某些条件where_clause变量动态字符串开发年前由一个人。这是一个很长的cfs文件，有几个条件用于为where_clause创建动态字符串。因此，使用cfqueryparam可能不合适，或者可能需要彻底检查客户不允许的代码。

Answer 1

这是一个讨厌的问题。恐怕我只能想出一个讨厌的“解决方案”。

• 替代值分隔符：<cfset where_clause = replace(where_clause, "''", "§§", "ALL")>
• 然后逃逸的实际单引号：<cfset where_clause = replace(where_clause, "'", "\'", "ALL")>
• 现在恢复替代和规范分隔符：<cfset where_clause = replace(where_clause, "§§", "'", "ALL")>

一起把它扔：

<cfset substitution = "§§"> <!--- use whatever char sequence works best for your data ---> 

<!--- fallback in case the substitution is part of your data ---> 
<cfif where_clause contains substitution> 

    <cfset substitution = "°°°"> 
    <!--- 
     you can basically start looping through a bunch of alternatives 
     or even expand the substition with an additional character 
     ...you get the idea 
    ---> 

</cfif> 

<cfset where_clause = replace(where_clause, "''", substitution, "ALL")> 
<cfset where_clause = replace(where_clause, "'", "\'", "ALL")> 
<cfset where_clause = replace(where_clause, substitution, "'", "ALL")> 

<cfquery... 

正如你所见，这仍然是高度问题，并可能在一天失败。但只要你必须处理where_clause变量，可能没有更好的选择。

Answer 2

您需要使用的功能PreserveSingleQuotes，这种方式：

<cfquery name="result_set" dataSource="#request.dsn_name#"> 
    select name, state from myTable #PreserveSingleQuotes(REReplace(where_clause,"''","'","ALL"))#   
</cfquery> 

有一个好的一天！