Question

（這是經典的ASP） 我確定這只是逃避文本的一種情況，但我還沒有發現任何東西。 我有一個textarea可能包含各種各樣的字符，我需要更新與該textarea中的任何內容的記錄，但我得到一個錯誤，打破我的SQL查詢，我積極的是有關的內容textarea。

所以我有這樣的，只要我的SQL查詢：

"UPDATE document SET displayheading='" & _ 
    stripillegal(request("txt_displayheading")) & _ 
    "', displayorder=" & displayorder & _ 
    ", shortdescription='" & stripillegal(request("txt_shortdescription")) & _ 
    "', document_note='" & request("document_note") ...blah blah blah 

所以我不知道我怎麼含有textarea的，這樣我可以不破壞查詢更新記錄？

Answer 1

的newStr變量下面是避免動態的方式SQL並解決SQL注入潛力。它使用參數化查詢。這裏有一個SQL解決方案：

DECLARE @DisplayHeading varchar(100) 
    DECLARE @DisplayOrder int 
    DECLARE @ShortDescription varchar(100) 
    DECLARE @DocumentNote varchar(100) 

    DECLARE @command nvarchar(500) 
    DECLARE @params nvarchar(500) 

    SET @command = N'UPDATE document 
     SET displayheading=@DisplayHeading 
     , displayorder=@DisplayOrder 
     , shortdescription=@ShortDescription 
     , document_note=@DocumentNote 
     --...blah blah blah' 

    SET @params = N'@DisplayHeading varchar(100), @DisplayOrder int, 
      @ShortDescription varchar(100), @DocumentNote varchar(100)' 

-- Assign values to user variables. 

EXEC sp_executesql @command, @params, @DisplayHeading, 
    @DisplayOrder, @ShortDescription, @DocumentNote 

這裏就是你可以用ADO嘗試：

cmd.CommandText = "UPDATE document " & _ 
     "SET displayheading=@DisplayHeading, displayorder=@DisplayOrder, " & _ 
     "shortdescription=@ShortDescription, document_note=@DocumentNote " & _ 
     "--...blah blah blah" 

    cmd.Parameters.Add(New SqlParameter("@DisplayHeading", DisplayHeading)) 
    cmd.Parameters.Add(New SqlParameter("@DisplayOrder", DisplayOrder)) 
    cmd.Parameters.Add(New SqlParameter("@ShortDescription", ShortDescription)) 
    cmd.Parameters.Add(New SqlParameter("@DocumentNote", DocumentNote)) 

Answer 2

查詢將打破，如果有喜歡'的性格，你需要先替換它們：

newStr = Replace("'", "''", request("txt_displayheading")) 

而且在查詢中使用，而不是request("txt_displayheading"