当我在搜索框中插入单引号并按搜索按钮时,会出现如下错误:
[Microsoft] [SQL Server Native Client 10.0] [SQL Server]字符串''。
后面的未闭合引号
答案 0 :(得分:2)
您应该使用parameterized queries而不是通过连接构建SQL。
这将避免SQL Injection attacks以及解决任何单引号问题。
通过加倍'来快速修复它以逃避'',但这只是一个临时的解决方法,您的代码仍然容易受到攻击。
答案 1 :(得分:0)
参数化您的SQL查询。有比这更严重的问题称为SQL Injection。
答案 2 :(得分:0)
你需要转义单引号,例如\'因为你使用单引号括起where-statements,比如i ='foo',那么你需要写一下i ='\''以匹配单个引用,或谎言我='它'今天是美好的一天'