我一直在阅读转义字符串以避免SQL注入。我知道参数化查询是避免注入的最安全的方法。 但我确实有一个关于Escaping的问题,作为赞美参数化查询的方法。
假设输入字段“Name”的值为 O'Brian ,并使用以下例程进行转义:
sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"
所以价值现在看起来像 O''Brian 。如果要使用Insert查询将其插入数据库,插入的值是否实际为 O''BRIAN ?
如果是这种情况,那么为了在名称列中搜索插入的值O''Brian,在执行Select查询以将其与插入的值匹配之前,我是否必须将其转义为O''Brian DB?