sql 中的特殊字符如何处理，请教！

select * from Info where name=' ”+ textbox1.text + '''";

当这个文本框的值含特殊字符时如何处理？

慕田峪7331174

浏览 635回答 5

浮云间

select * from Info where name=@name; SqlParameter param=new SqlParameter("@name",textbox1.text);

哔哔one

你说的不适用啊，我的特殊字符我也不知道用户会输入什么样的特殊字符，另外位置也不确定，我如何放置这个转义字符呢？

慕虎7371278

使用绑定变量，不要拼接SQL。

一只名叫tom的猫

textbox1.text外面再加一个过滤函数(如：sql注入、HTML过滤、业务逻辑验证等)。

随时随地看视频慕课网APP