SQL語(yǔ)句中特殊字符的處理方法
在數(shù)據(jù)庫(kù)的使用時(shí),經(jīng)常會(huì)在sql語(yǔ)句中遇到一些特殊字符,那么這些字符應(yīng)該如何處理呢?下面就將為您介紹SQL語(yǔ)句中特殊字符的處理方法,供您參考。
在sql語(yǔ)句中,有些特殊字符,是sql保留的。比如 ' [ ] 等。我們可以先看看它們的用法。
當(dāng)需要查詢某數(shù)據(jù)時(shí),加入條件語(yǔ)句,或著當(dāng)你需要insert記錄時(shí),我們用 ' 來(lái)將字符類型的數(shù)據(jù)引起來(lái)。比如:
Select * from Customers where City = 'London'
當(dāng)表的名字或列的名字中,含有空格等一些特殊字符時(shí),我們需要用[] 將表名引起來(lái),告訴語(yǔ)法分析器,[]號(hào)內(nèi)的才是一個(gè)完整的名稱。比如
Select * from [Order Details]
如果,字符數(shù)據(jù)中,含有 ' 改怎么辦呢?其實(shí),好多人在這里并沒(méi)有處理字符川中 ' 符號(hào),才造成sql 注射危險(xiǎn)。就那上面的那個(gè)例子。在Sql語(yǔ)句拼接的時(shí)代,比如
string sql = "select * from Customers where CustomerID = '" + temp + "'";
如果,我給temp賦值為 Tom' or 1=1 ---
那么你拼接起來(lái)的語(yǔ)句為 select * from Customers where CustomerID = 'Tom' or 1=1 --- '
哈哈,1=1 衡為真,---會(huì)把后面的sql語(yǔ)句注釋掉。而前面因?yàn)橛休斎氲?' 而使的語(yǔ)句是合法的。那or的條件,會(huì)把所有的記錄都選出來(lái)。這就是sql注入。在做用戶登陸時(shí),如果沒(méi)有處理該問(wèn)題,那你的系統(tǒng)受危害的可能性會(huì)很高的。
如何處理字符數(shù)據(jù)中的 ' 符號(hào)呢? 方法很簡(jiǎn)單,用兩個(gè) ' 符號(hào)代替一個(gè)。 比如,其實(shí)際傳入的值為L(zhǎng)on'don,處理后為
Select * from Customers where City = 'Lon''don'
就可以了。
如果表或列的名稱中含有 [ 或 ] 字符呢?比如Select * from [Order] Details],那中間 ] 符號(hào)豈不是先和***個(gè)[ 配了。后面的就是非法的了。怎么辦呢? 簡(jiǎn)單,使用 ]] 代替 ] 。對(duì)于[,則無(wú)須處理。那就該為
Select * from [Order]] Details]。
【編輯推薦】
為您講解SQL動(dòng)態(tài)語(yǔ)句的語(yǔ)法
