Guillemet simple de gestion dans une chaîne SQL

J'ai une application dans laquelle les valeurs dans le champ de texte sont envoyés à la base de données.

Par exemple, j'ai un formulaire avec un champ (zone de texte). Lorsque j'appuie sur Ok, puis sur le bouton contenu du champ de texte est inséré comme un enregistrement dans une table. Je suis juste de taillage et de l'extraction de la zone de texte du texte dans la variable et le passer à ma chaîne SQL.

Le problème est qu'à chaque fois que quelque chose comme "C'est" ou "Ami" l'apostrophe est identifié comme la fin de la chaîne. Dans Delphi, j'ai vu quelque chose comme QuotedString pour éviter cela. Toutes les idées de vous?

  • êtes-vous à l'aide de paramétrer des requêtes?
  • Si vous pouvez citer des chaînes, vous devez utiliser des requêtes paramétrées comme Mitch suggère.
  • Je devine qu'il va se contenter de la réponse à sa question, plutôt que de s'attaquer au vrai problème. SQL Injection, nous voici!!!!
  • Mitch: en Supposant que SQL Server, je ne pense pas qu'il y a toute une injection SQL de possibilités si toutes les chaînes sont correctement indiqués. Bien sûr, les gens ont l'habitude de systématiquement pas correctement citant chaque chaîne, mal en laissant les choses qu'ils s'attendent à être des dates ou des numéros non cotées.
  • ouais je obtenir ur point... Merci
  • yep. il ne prend qu'une ou deux à se faufiler à travers et c'est "helloo peu de bobby tables!"
  • aussi, vous avez à s'échapper pour COMME des clauses....!
  • Mitch: Si vous parlez d'échapper à % à l'intérieur de LIKE modèles, qui n'a rien à voir avec l'injection SQL et doit être fait manuellement, même avec des requêtes paramétrées.

InformationsquelleAutor JCTLK | 2011-01-10
  1. 37

    Ne jamais construire des instructions SQL comme ça, c'est très dangereux (lire ici). Utiliser les paramètres, j'.e:

    var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter param  = new SqlParameter();
param.ParameterName = "@firstname";
param.Value         = "testing12'3";
command.Parameters.Add(param);
    • Ce que je fais est très simple d'application. C'est pourquoi je n'ai pas utiliser ce.Merci Beaucoup de toute façon.
    • faire de la bonne façon. petite application.s d'une habitude de plus en plus s'ils sont jugés utiles. Aussi, gardez votre base de code plein de modèles qui doivent être copiés, PAS des motifs qui ne sont pas souhaitables.
    • Ce n'est guère compliqué, et a énorme avantages à plus long terme.
    • Il peut même être résumés à 1 ligne pour ajouter un param: commande.Les paramètres.AddWithValue("@FirstName", "testing12'3");
    • faut être prudent avec ces bien que....
    • Blé - Yep. Je dois également fait remarquer qu'il sera de travailler à la SqlDbType de la .NET du mieux qu'il peut (par exemple, les chaînes doivent toujours se passer comme NVARCHAR). Mon pref c'est de toujours être explicite, en db types + de tailles.
    • Question... Lorsque je l'apostrophe encore détruit mon stockée Oracle proc... j'ai loupé quelque chose ici... si le nom du paramètre de toujours avoir le symbole @ devant cela? Je suis à l'aide de ODP.net btw...

    InformationsquelleAutor Rob
  2. 0

    Utilisation .Replace("'","''''")

    Par exemple 

    string name = txtName.Text.Replace("'","''''");

    Maintenant name peut être passé en paramètre à une procédure stockée etc.

    InformationsquelleAutor Muzammil Tamboli
  3. -2

    Espère que cela va vous aider à ... 

    public static string DoQuotes(string sql)
    {
        if (sql == null)
            return "";
        else
            return sql.Replace("'", "''");
    }
    • La suppression de commentaires ici - qu'ils ont sorti de la main, et l'attira beaucoup de drapeaux - assez drapeaux de voyage de suppression automatique. Résumé: beaucoup de gens pensent que la quote-fondé de l'approche ici est exceptionnellement mauvaise idée lorsque les paramètres sont tout aussi facile, et beaucoup plus robuste. Les autres (OK, l'OP) sont en désaccord.
    • Il serait utile de voir un traitement plus robuste pour savoir comment gérer les citations dans les circonstances où le paramétrage est pour quelles obscures raisons - il est vraiment pas possible.
    • Cette méthode fonctionne bien pour de petites applications personnelles où l'Injection SQL n'est pas un sujet de préoccupation.
    InformationsquelleAutor Buddhi Dananjaya