若使用者輸入條件查詢DB, 建議使用參數化查詢…
那麼SQL字串中的單引號要如何表示呢?
那麼SQL字串中的單引號要如何表示呢?
SQL 查詢有單引號的資料,就把一個單引號「’」變成兩個單引號「 '’」:
SELECT Name FROM Test WHERE Name = ‘Peppa''s busy day’
程式組裝SQL語句,使用 String.Replace() 方法,將單引號「’」改為兩個單引號「 '’」:
(還是不安全,建議用參數化的查詢 )
String.Replace(“'”, “''")
沒有留言:
張貼留言