0
我怎樣才能將數據(如"John's shoe")輸入到SQL Server CE表(版本3.5)中,因爲插入語句等等不接受使用'語句中的撇號如下語句:用'(apostrophy)向SQL Server CE表輸入數據
INSERT INTO ShowsDB(Item) VALUES('+ "John's shoes" + "')
A
回答
7
您必須避免將數據直接放入您的SQL,基本上。使用參數化的SQL來代替:
// I'm assuming you're opening the connection already
string sql = "INSERT INTO ShowDB(ITEM) VALUES (@Name)";
using (var command = new SqlCommand(sql, connection))
{
command.Parameters.Add("@Name", SqlDbType.NVarChar).Value = "John's shoes";
command.ExecuteNonQuery();
}
使用參數化SQL有三個好處:
- 避免了SQL injection attacks
- 避免了不必要的和危險的字符串轉換(特別是日期/時間類型)
- 分隔的「代碼「(SQL),使數據(參數)更容易理解
+0
好的,這似乎工作,但我也嘗試檢查數據是否已經存在,並且不起作用:var rows = dataTable.Select(「Item =」+「John's shoes」); if(rows.Length == 0) – touyets
+1
@ user1842134:您沒有提及使用數據表。正因爲這種事情,我並不是「DataTable.Select」的忠實粉絲。你可能最好只是遍歷行並檢查每一行。 –
0
標準SQL轉義是引號應增加一倍,所以你的查詢變得
INSERT INTO ShowsDB(Item) VALUES('+ "John''s shoes" + "')
這是搞什麼運行鍼對數據庫的副本來診斷問題SELECT語句完全正常的,但千萬不要在實際使用生產系統。參數化查詢是你的朋友。
+0
以任何方式使用它是一個壞習慣。參數化查詢應始終在100%的時間內使用,即使您知道您的查詢是安全的還是您處於安全環境中。所需要的只是一個人將一些代碼複製/粘貼到您的項目中,而您現在很容易受到攻擊。如果你養成了所有時間參數化的習慣(這實際上比用所有引號和字符逃跑都容易得多),你永遠不會犯錯。 –
相關問題
- 1. 插入SQL Server CE數據庫
- 2. 與嵌入式SQL Server CE數據庫
- 3. SQL Server到SQL Server CE表數據使用SqlBulkCopy複製
- 4. SQL Server CE和C#;填充從SQL Server CE數據庫
- 5. SQL CE不向數據庫輸入信息
- 6. 檢索ODBC表並插入到SQL Server CE數據庫中
- 7. SQL Server CE加入兩個表
- 8. SQL Server CE:將行插入表頂部
- 9. 需要幫助寫入SQL Server CE表
- 10. 導入Excel到SQL Server CE
- 11. 插入行和SQL Server CE
- 12. 用C#備份SQL Server CE數據庫 - 導入導出
- 13. SQL Server CE的更新表
- 14. SQL Server CE到SQL Server
- 15. SQL Server CE中的數據消失
- 16. SQL Server CE數據庫大小問題
- 17. 連接到SQL Server CE數據庫
- 18. SQL Server CE - 數據庫不能爲空
- 19. 針對SQL Server CE的Northwind數據庫?
- 20. 合併sql server ce數據庫
- 21. 加密SQL Server CE數據庫
- 22. SQL Server CE 2.0數據庫下載
- 23. 數據集和SQL Server CE .NET 4的
- 24. 更新SQL CE表數據
- 25. 向SQL Server插入表(整數)表
- 26. SQL Server CE ORM
- 27. Soundex SQL Server CE
- 28. SQL Server CE BadImageFormat
- 29. 用於SQL Server CE的數據庫圖表工具4
- 30. log4net的使用SQL Server CE不將數據保存到表
這允許SQL注入攻擊。使用參數化查詢,您將減輕攻擊**和**能夠插入單引號。 – zimdanen