如何解决如何执行sql查询以匹配包含单引号'的列值
我的 C# 代码用于查找列名为 CustomerAccountNumber 的数据行,其中包含一个值 KKL'M"/(值中的单引号 ')不返回任何内容
这是我的 C# 代码:
matchingid = "KKL'M\"/";
bool foundCustomer = false;
sqlConnection cnn;
connetionString = "Server=" + config.serverName + ";Database=" + config.companyName + ";Trusted_Connection=true";
cnn = new sqlConnection(connetionString);
cnn.open();
var queryString = "SELECT CustomerAccountNumber,CustomerAccountName FROM [" + config.companyName + "].[dbo].[SLCustomerAccount] WHERE CustomerAccountNumber = @matchingAccountName";
sqlCommand command = new sqlCommand(queryString,cnn);
command.Parameters.Add(new sqlParameter("@matchingAccountName",System.Data.sqlDbType.NChar) { Value = matchingid });
using (sqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
cnn.Close();
value 包含的数据库截图
解决方法
使用参数而不是像这样构造查询,并将所有可处理的对象放在 using 中。
这个例子可以让你走上正确的道路
using (SqlConnection cnn = new SqlConnection(connetionString))
{
cnn.Open();
var queryString = "SELECT CustomerAccountNumber,CustomerAccountName FROM dbo.SLCustomerAccount WHERE CustomerAccountNumber = @matchingid";
using (SqlCommand command = new SqlCommand(queryString,cnn))
{
command.Parameters.Add("@matchingID",SqlDbType.VarChar,50).Value = matchingID; // specify correct length
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
}
}
编辑
如评论中所述,您不能参数化公司名称,但在您的查询中不需要它,因此只需将其省略即可。
3 个部分名称的使用将被弃用,请阅读所有相关内容 here
我还想提一下,通过使用参数,你再也不用担心sql注入了。不确定您的情况是否有问题,但最好始终使用参数,因为格式、引号 ' 以及您在值中可以找到的任何内容都没有问题,并且可以安全地防止 sql 注入
编辑 2
正如@NicholasHunter 也提到的,小心
matchingid = "kkl'm\"/n";
如果一个字符串可以包含特殊字符,你可以将它们全部转义,或者简单地使用这个
matchingid = @"kkl'm\"/n";
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。