APOSTROPHE DYNAMIC SQL

2010-09-17 44 views 1 likes

DECLARE @SQL Varchar(Max) 
DECLARE @DESCR Varchar(Max) 

-- Customer enters description into @Descr 
SET @SQL = 'Update TableName SET FieldName=''' 
+ @DESCR 
+ ''' WHERE ID=123'

問題是客戶在@Descr變量中輸入撇號時。APOSTROPHE DYNAMIC SQL

問：在Microsoft SQL Server 2005中，如何用雙撇號替換所有的同義詞？

來源

2010-09-17 Phillip Senn

回答

如果這甚至需要動態SQL（您顯示的代碼沒有），那麼使用參數化SQL和sp_executesql來避免SQL注入的可能性。

DECLARE @SQL NVarchar(Max) 
DECLARE @DESCR NVarchar(Max) 

-- Customer enters description into @Descr 


SET @SQL = 'Update TableName SET [email protected] WHERE ID=123' 

exec sp_executesql @SQL, N'@DESCR NVarchar(Max)', @DESCR [email protected]

來源

2010-09-17 16:35:40

謝謝馬丁！是的，它必須是動態的 - 我不想讓這個例子複雜化。 – 2010-09-17 17:56:05

不推薦用於生產，但會起作用。

SET @DESCR = REPLACE(@DESCR, '''', '''''')

來源

2010-09-17 16:37:47

相關問題

1. Command.Parameters＆Apostrophe
2. APOSTROPHE問題Java和SQL
3. SQL Dynamic Pivot
4. dynamic pivot sql
5. SQL Server Profiler - 查看Dynamic Sql
6. SQL Dynamic Pivot without aggregate
7. Sql Table dynamic cell typ
8. Dynamic GroupBy Linq to SQL
9. As400 - Dynamic Sql where子句
10. SQL Server Reporting Services Dynamic Header