很多時候,在數據庫中某表某字符字段中,要存儲的數據內容會含有單引號,比如下面:
string name = GetNameById(id);
string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);
這樣真的沒問題嗎?
假設name獲取的字面值是這樣的:O'neal;這條語句數據庫執行會報錯!
我們看看數據庫端執行的sql語句內容是怎樣的: update cover_diagnose set name = 'O'neal' where id = 48951
很明顯,數據庫將字符 'O' 兩端的單引號作為了字符的兩個邊界,而后面緊跟的那些代碼則出現了編譯的錯誤,無法執行.
因此,為了避免這種情況的發生,我們應該在后台代碼中過濾這些字符串,獲得正確的格式!
static void Main(string[] args)
{
string name = GetNameById(id);
name = StrFilter(name);
string sql = string.Format("update cover_diagnose set name = '{0}' where id = 48951",name);
}
public static string StrFilter(string str)
{
if (string.IsNullOrEmpty(str))
{
return null;
}
else
{
if (str.Contains("'"))
{
str = str.Replace("'", "''"); // 將單引號轉義為雙單引號 ''
return str;
}
else
{
return str;
}
}
}
當然,這只是處理這一情況的一種特殊方式。更為合理的處理方式是存儲過程和參數化SQL語句。這 2 種方式既可以避免 SQL 注入攻擊的問題,還能提升數據庫任務的性能,這才是最應該推薦的標准做法!此文就不詳細介紹了,在 ASP.NET 4.0 分類隨筆中有關於這 2 種 方式的詳細介紹。