请问一个SQL命令
日期:2014-05-16 浏览次数:20314 次
请教一个SQL命令
ASP+SQL
sql = "insert into vendor_tongzi_dtl (FaBu_Dep,FaBu_Topic,FaBu_Mess,Begin_date,End_date,FaBu_Ren) values ('"
sql = sql + Request.Form('select_fbtz') + "'"
sql = sql + ",'" + Request.Form('tz_topic') + "'"
sql = sql + ",'" + Request.Form('tz_mess') + "'"
sql = sql + ",'" + Request.Form('tz_date_1') + "'"
sql = sql + ",'" + Request.Form('tz_date_2') + "'"
sql = sql + ",'" + Session('yonghuid')+ "'"
sql = sql + ")"
如果用户在tz_mess这个文本框里,正常输入一些汉字,不会出错。
现在遇到一个新的问题
用户输入了带了“ ' “ (即:半角的单引号) 此符号的内容,则SQL命令出错。
出错的原因也能明白,前后的'全乱套了。
问下:如果用户一定要输入这些特殊字符,如何防止SQL命令出错呢?
------解决方案--------------------
不要直接拼接sql
插入数据ado有接口可以给你用的
类似于这样吧
ASP+SQL
sql = "insert into vendor_tongzi_dtl (FaBu_Dep,FaBu_Topic,FaBu_Mess,Begin_date,End_date,FaBu_Ren) values ('"
sql = sql + Request.Form('select_fbtz') + "'"
sql = sql + ",'" + Request.Form('tz_topic') + "'"
sql = sql + ",'" + Request.Form('tz_mess') + "'"
sql = sql + ",'" + Request.Form('tz_date_1') + "'"
sql = sql + ",'" + Request.Form('tz_date_2') + "'"
sql = sql + ",'" + Session('yonghuid')+ "'"
sql = sql + ")"
如果用户在tz_mess这个文本框里,正常输入一些汉字,不会出错。
现在遇到一个新的问题
用户输入了带了“ ' “ (即:半角的单引号) 此符号的内容,则SQL命令出错。
出错的原因也能明白,前后的'全乱套了。
问下:如果用户一定要输入这些特殊字符,如何防止SQL命令出错呢?
------解决方案--------------------
不要直接拼接sql
插入数据ado有接口可以给你用的
Set rs = Server.CreateObject ("ADODB.Recordset")
sql = "Select * from vendor_tongzi_dtl"
rs.Open sql,conn,3,2
rs.addnew
rs("FaBu_Dep")=Request.Form('select_fbtz')
rs("FaBu_Mess")=Request.Form('tz_mess')
rs.update
rs.close
Set rs = Nothing
conn.close
set conn=Nothing
类似于这样吧
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
