1

このクエリを使用してデータベースを更新しようとしています:

string query = "UPDATE pagine SET titolo= '" + pa.titolo + @"', contenuto = '" + pa.contenuto + @"' WHERE id= " + pa.id;

私はそれを働かせることができません。詳細については、mdb データベース テーブルの更新を参照してください。

問題は、タイトルとコンテンツにアポストロフィが含まれていることかもしれません。Regex.Escape を使用してみましたが、大量の \\\ がコンテンツに追加されるだけです。

ASP.NET で ' および " 文字だけをエスケープする方法はありますか?

注:私はイタリア人なので、変数にイタリア語の名前を使用していますが、昨日投稿された他の質問でより明確にするためにそれらを翻訳しました。

4

3 に答える 3

0

SQLParameter は、テキストのクリーンアップを忘れないため、より安全です。
テキストをエスケープするだけです。 

string userText = @"you realy shouldn't do this";

string sqlSafeText = sqlSafeText.Replace(@"'", @"''");
于 2013-04-10T16:43:32.963 に答える
-1

C# では、以下のようにエスケープでき"ます ->" to \"

"ABELE\"o\""

'以下のように単一の引用符をエスケープできます' to ''

"ABELE''o"
于 2013-04-10T16:46:20.890 に答える