如何执行 sql 查询以匹配包含单引号 (') 的列值
How to execute sql query to match column value which contains single quote(')
我的 C# 代码用于查找列名为 CustomerAccountNumber 的数据行,其中包含值 KKL'M"/(值中的单引号 ')return 无
这是我的 C# 代码:
matchingid = "KKL'M\"/";
bool foundCustomer = false;
SqlConnection cnn;
connetionString = "Server=" + config.serverName + ";Database=" + config.companyName + ";Trusted_Connection=true";
cnn = new SqlConnection(connetionString);
cnn.Open();
var queryString = "SELECT CustomerAccountNumber, CustomerAccountName FROM [" + config.companyName + "].[dbo].[SLCustomerAccount] WHERE CustomerAccountNumber = @matchingAccountName";
SqlCommand command = new SqlCommand(queryString, cnn);
command.Parameters.Add(new SqlParameter("@matchingAccountName", System.Data.SqlDbType.NChar) { Value = matchingid });
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
cnn.Close();
value包含的数据库截图
使用参数而不是像那样构建查询,并将所有一次性对象放入 using。
这个例子可以让你走上正确的道路
using (SqlConnection cnn = new SqlConnection(connetionString))
{
cnn.Open();
var queryString = "SELECT CustomerAccountNumber, CustomerAccountName FROM dbo.SLCustomerAccount WHERE CustomerAccountNumber = @matchingid";
using (SqlCommand command = new SqlCommand(queryString, cnn))
{
command.Parameters.Add("@matchingID", SqlDbType.VarChar, 50).Value = matchingID; // specify correct length
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
}
}
编辑
如评论中所述,您无法参数化公司名称,但您的查询中不需要它,因此将其省略。
使用 3 部分名称将被弃用,请阅读所有相关内容 here
我还想提一下,通过使用参数,您不必再担心 sql 注入。不确定你的情况是否有问题,但最好始终使用参数,因为你永远不会遇到格式、引号 ' 以及你可以在值中找到的任何问题,并且你可以安全地对抗 sql注入
编辑 2
正如@NicholasHunter 所提到的,小心
matchingid = "kkl'm\"/n";
如果一个字符串可以包含特殊字符,你可以将它们全部转义,或者简单地使用这个
matchingid = @"kkl'm\"/n";
我的 C# 代码用于查找列名为 CustomerAccountNumber 的数据行,其中包含值 KKL'M"/(值中的单引号 ')return 无
这是我的 C# 代码:
matchingid = "KKL'M\"/";
bool foundCustomer = false;
SqlConnection cnn;
connetionString = "Server=" + config.serverName + ";Database=" + config.companyName + ";Trusted_Connection=true";
cnn = new SqlConnection(connetionString);
cnn.Open();
var queryString = "SELECT CustomerAccountNumber, CustomerAccountName FROM [" + config.companyName + "].[dbo].[SLCustomerAccount] WHERE CustomerAccountNumber = @matchingAccountName";
SqlCommand command = new SqlCommand(queryString, cnn);
command.Parameters.Add(new SqlParameter("@matchingAccountName", System.Data.SqlDbType.NChar) { Value = matchingid });
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
cnn.Close();
value包含的数据库截图
使用参数而不是像那样构建查询,并将所有一次性对象放入 using。
这个例子可以让你走上正确的道路
using (SqlConnection cnn = new SqlConnection(connetionString))
{
cnn.Open();
var queryString = "SELECT CustomerAccountNumber, CustomerAccountName FROM dbo.SLCustomerAccount WHERE CustomerAccountNumber = @matchingid";
using (SqlCommand command = new SqlCommand(queryString, cnn))
{
command.Parameters.Add("@matchingID", SqlDbType.VarChar, 50).Value = matchingID; // specify correct length
using (SqlDataReader reader = command.ExecuteReader())
{
while (reader.Read())
{
foundCustomer = true;
}
}
}
}
编辑
如评论中所述,您无法参数化公司名称,但您的查询中不需要它,因此将其省略。
使用 3 部分名称将被弃用,请阅读所有相关内容 here
我还想提一下,通过使用参数,您不必再担心 sql 注入。不确定你的情况是否有问题,但最好始终使用参数,因为你永远不会遇到格式、引号 ' 以及你可以在值中找到的任何问题,并且你可以安全地对抗 sql注入
编辑 2
正如@NicholasHunter 所提到的,小心
matchingid = "kkl'm\"/n";
如果一个字符串可以包含特殊字符,你可以将它们全部转义,或者简单地使用这个
matchingid = @"kkl'm\"/n";