SQL查詢和特殊字符

Question

我在嘗試使用SQL Server數據庫中具有'>'，'％'和其他特殊字符的值進行INSERT查詢時遇到問題...

當然，如果一個ASP.NET的Web應用程序（C＃）

的方式我準備插入查詢的應用程序是：

string Query1 = 
    "UPDATE message SET message = '" + mymessage + "' " + 
    "WHERE operationType = '" + value_operationType + "' " + 
    "AND languageType = '" + value_languageType + "';"; 

使用IIS 7，我沒有這個問題，但使用的是IIS 6我有它。

是否有一些配置我應該在IIS 6上更改？

謝謝！

Answer 1

只是回答我的問題，因爲一個coleague能夠提供它的解決辦法是添加在web.config中這樣一行：

<system.web> 
    ... 
    <httpRuntime requestValidationMode="2.0" /> 
    ... 
</system.web> 

感謝

Answer 2

像這樣創建一個SQL命令會導致SQL注入 - 正確的方法是使用SQL參數。

看一看： C# Update Table using SqlCommand.Parameters ASP.NET

Answer 3

只要你知道，這是運行一個查詢，就好像他們知道怎麼有人可以刪除你的整個數據庫以危險方法，它可能會終有一天！

在回答你原來的問題，你可以HTML編碼值：

string htmlEncodedMessage = Server.HtmlEncode(mymessage); 

string Query1 = 
    "UPDATE message SET message = '" + htmlEncodedMessage + "' " + 
    "WHERE operationType = '" + value_operationType + "' " + 
    "AND languageType = '" + value_languageType + "';"; 

我強烈建議你看看數據庫操作的其他方法，比如LINQ to SQL的。