ColdFusion的單引號問題與SQL查詢

Question

在我的ColdFusion 11的應用程序，使用SQL Server 2008 R2，我下面一個CF組件內CFQUERY標籤：

<cfquery name="result_set" dataSource="#request.dsn_name#"> 
    select name, state from myTable #REReplace(where_clause,"''","'","ALL")#   
</cfquery> 

這裏where_clause是一個變量。 CF用兩個單引號替換，因此我使用REReplace函數將兩個單引號替換爲一。所以我的查詢會改變，例如從

select name, state from myTable WHERE name IN (''ABC'') 

這樣：

select name, state from myTable WHERE name IN ('ABC') 

問題是，當一個名字列值包含一個單引號爲好。例如。

select name, state from myTable WHERE name IN ('Smith's bat') 

在這種情況下查詢失敗。我該如何解決這些問題。我嘗試了PreserveSingleQuotes，但它具有相同的問題，其中列的值使用單引號。

UPDATE

這個程序使用的ColdFusion MX 7原作者是創建基於某些條件where_clause變量動態字符串開發年前由一個人。這是一個很長的cfs文件，有幾個條件用於爲where_clause創建動態字符串。因此，使用cfqueryparam可能不合適，或者可能需要徹底檢查客戶不允許的代碼。

Answer 1

這是一個討厭的問題。恐怕我只能想出一個討厭的「解決方案」。

• 替代值分隔符：<cfset where_clause = replace(where_clause, "''", "§§", "ALL")>
• 然後逃逸的實際單引號：<cfset where_clause = replace(where_clause, "'", "\'", "ALL")>
• 現在恢復替代和規範分隔符：<cfset where_clause = replace(where_clause, "§§", "'", "ALL")>

一起把它扔：

<cfset substitution = "§§"> <!--- use whatever char sequence works best for your data ---> 

<!--- fallback in case the substitution is part of your data ---> 
<cfif where_clause contains substitution> 

    <cfset substitution = "°°°"> 
    <!--- 
     you can basically start looping through a bunch of alternatives 
     or even expand the substition with an additional character 
     ...you get the idea 
    ---> 

</cfif> 

<cfset where_clause = replace(where_clause, "''", substitution, "ALL")> 
<cfset where_clause = replace(where_clause, "'", "\'", "ALL")> 
<cfset where_clause = replace(where_clause, substitution, "'", "ALL")> 

<cfquery... 

正如你所見，這仍然是高度問題，並可能在一天失敗。但只要你必須處理where_clause變量，可能沒有更好的選擇。

Answer 2

您需要使用的功能PreserveSingleQuotes，這種方式：

<cfquery name="result_set" dataSource="#request.dsn_name#"> 
    select name, state from myTable #PreserveSingleQuotes(REReplace(where_clause,"''","'","ALL"))#   
</cfquery> 

有一個好的一天！