如何使用SQL Server后端数据库处理asp.net Web搜索中的特殊字符。例如,单引号和双引号等
答案 0 :(得分:1)
替换单引号'或双引号"将会像这样完成
StrQuery = "Select * from TableName Where Keyword LIKE '%" + TxtSearchBox.Text + "%'";
StrQuery = StrQuery.Replace("'", "\'");
StrQuery = StrQuery.Replace('"', "\"");
StrQuery = StrQuery.Replace("\", "\\");
另一个非常重要的事情是你最好使用参数化查询。这些将自动处理单引号,并更好地保护您免受SQL注入。
SET QUOTED_IDENTIFIER 会遵循关于引号分隔标识符和文字字符串的ISO规则。由双引号分隔的标识符可以是Transact-SQL保留关键字,也可以包含Transact-SQL标识符语法规则通常不允许的字符。