c# . net中MySQL查询中的特殊字符
本文关键字:特殊字符 查询 MySQL net | 更新日期: 2023-09-27 17:49:40
我的数据中的一个名字是这样的奥尼尔
当我把它放入我的MySQL查询它看起来像这样奥尼尔的不幸的是,它读取O之间的'并导致错误。我不想替换',我还是希望名字是O' neil。有人能推荐一种方法吗?
我正在使用c# (. net)。
谢谢。
CM888 .
Jose是对的——你应该绝对使用参数化查询。
这避免了:
- SQL注入攻击
- 无效的SQL由于引号等
- 日期/时间和数字格式的问题
把代码和数据分开也是个好主意。
应该使用参数化查询。本文的答案是参数化查询的示例。你是在间接地执行sql注入。参数化查询避免了SQL注入,而且这也是一个很好的实践。
使用SQL转义字符" .
'O''Neil'
ref: http://www.orafaq.com/faq/how_does_one_escape_special_characters_when_writing_sql_queries