0
我正面临着sql查询中单引号输入问题。查询如下。单引号查询问题
Dim query As String = "insert into users(comment) values ('" & txt_comment.Text & "')"
它工作正常。但是,当用户在文本框中输入单个代码数据时,查询会崩溃。输入例如“henry's”。任何人都想建议我该怎么做?在此先感谢
Q
单引号查询问题
A
回答
-4
你需要复制的报价:
Dim query As String = "insert into users(comment) values ('" & txt_comment.Text.replace("'","''") & "')"
6
不好意思喊,但我不能强调这是多么重要。你给出的例子"Henry's"实际上是一个驯服的例子,只会导致查询失败。有人可以输入"Henry'; DROP TABLE users;--",现在你已经失去了你的用户表。
即使您有限制输入,例如下拉列表,仍然应该使用参数化查询,因为它们允许更强大的键入,并且还允许从缓存中使用查询计划。
我没有用VB.NET里来,所以请原谅任何语法错误,但我想你想要的东西,如:
Dim query As String = "insert into users(comment) values (@Comment);"
Using connection As New SqlConnection("Your Connection String")
Using command As New SqlCommand(query, connection)
command.Parameters.Add("@Comment", SqlDbType.VarChar, 255).Value = txt_comment.Text
command.ExecuteNonQuery()
End Using
End Using
相关问题
- 1. 查询问题,用单引号
- 2. 单引号问题
- 3. ColdFusion的单引号问题与SQL查询
- 4. 查询中的单引号
- 5. SQL查询用单引号
- 6. SOSL单引号问题
- 7. javascript单双引号问题
- 8. javascript单引号问题
- 9. 单,双引号的问题
- 10. NSPredicate单引号问题
- 11. 问题上查询索引
- 12. 问题与撇号和/或单引号
- 13. 引号查询
- 14. 单引号jQuery Mobile的问题引起
- 15. php post:用sqlserver查询替换单双引号的单引号
- 16. JavaScript的替换单引号与双单引号问题
- 17. SQL查询简单问题子查询
- 18. SQL简单查询问题
- 19. MySql查询简单问题
- 20. SQL单查询问题
- 21. MySQL查询 - 订单问题
- 22. 问题与查询菜单
- 23. 简单ASP查询问题
- 24. mysql查询引号
- 25. handeling查询有单引号的项目
- 26. Android java SQLite查询和单引号
- 27. 逃生的即席查询单引号
- 28. SQL查询的姓氏用单引号
- 29. 带有单引号的全文查询
- 30. 从sql查询中删除单引号
使用参数化查询。这也可以防止SQL注入问题 –
SQL期望所有引号都被关闭,在您的示例中没有发生什么。只要确保所有查询都完全按照用户输入时的预期构建。顺便说一句,这个特定的代码非常适合SQL注入:在连接到服务器之前,您应该始终检查查询(参数化查询,如Matt建议的,会自动处理这个问题)。 – varocarbas
有人说“小鲍比表”吗? –