插入记录时单引号的处理

由于Content, Title中可能包含单引号,直接使用sql的insert命令会报错,对此有两种处理方法,一种将单引号替换成两个单引号,第2种方法是使用存储过程。

表myBBS的格式定义如下:
CREATE TABLE [dbo].[myBBS] (
[ID] [bigint] IDENTITY (1, 1) NOT NULL ,
[Title] [char] (160) COLLATE Chinese_PRC_CI_AS NULL ,
[Author] [char] (20) COLLATE Chinese_PRC_CI_AS NULL ,
[Date_of_Created] [datetime] NULL ,
[Abstract] [char] (480) COLLATE Chinese_PRC_CI_AS NULL ,
[Content] [ntext] COLLATE Chinese_PRC_CI_AS NOT NULL
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]

1、将单引号用两个单引号替换:
SqlConnection coreDB=new SqlConnection();
coreDB.ConnectionString= "workstation id=/"GQA-ERIC-LV/";packet size=4096;integrated security=SSPI;" +
"data source=/"gqa-eric-lv/";persist security info=False;initial catalog=CoreDB";

//单引号用"''"替换,以插入'到SQL Server中;
string Title=TextBox1.Text.Replace("'","''");
string Content=TextBox2.Text.Replace("'","''");
if(Title.Trim()==""||Content.Trim()=="")return;
string insertCMD =@"insert into myBBS (Title,Content) Values('"+ Title + "','" +Content+"')";

SqlCommand myCommand = new SqlCommand(insertCMD,coreDB);
coreDB.Open();
SqlDataReader myReader = myCommand.ExecuteReader();
myReader.Close();
coreDB.Close();

2、使用存储过程来插入

1) 创建存储过程:
Create proc InsertMyBBSProc(@Title char(160), @Author char(20), @Content ntext)
AS
Insert into myBBS(Title,Author,Content) Values(@Title, @Author, @Content)

2) 查询分析器中测试存储过程:
declare @title char(160)
declare @author char(20)
declare @content char(600)
set @title='test title 3'
set @author='david euler 3'
set @content='it is the content 3'
exec InsertMyBBSProc @title, @author, @content

3) C#中通过SqlCommand执行存储过程:
SqlConnection coreDB=new SqlConnection();
coreDB.ConnectionString= "workstation id=/"GQA-ERIC-LV/";packet size=4096;integrated security=SSPI;" +
"data source=/"gqa-eric-lv/";persist security info=False;initial catalog=CoreDB";

string Title=TextBox1.Text;
string Content=TextBox2.Text;

if(Title.Trim()==""||Content.Trim()=="")return;

//InsertMyBBSProc是向MyBBS中插入数据的Procedure:
SqlCommand insertCMD = new SqlCommand("InsertMyBBSProc",coreDB);

insertCMD.CommandType=CommandType.StoredProcedure;//命令类型为存储过程;下面定义参数对象:
SqlParameter prm1=new SqlParameter("@Title", SqlDbType.Char,160);
SqlParameter prm2=new SqlParameter("@Author", SqlDbType.Char,20);
SqlParameter prm3=new SqlParameter("@Content",SqlDbType.NText,1073741823);
prm1.Direction=ParameterDirection.Input;
prm2.Direction=ParameterDirection.Input;
prm3.Direction=ParameterDirection.Input;
//为insertCMD添加SQL参数:
insertCMD.Parameters.Add(prm1);
insertCMD.Parameters.Add(prm2);
insertCMD.Parameters.Add(prm3);
//为SQL参数赋值:
prm1.Value=Title;
prm2.Value="David Euler";
prm3.Value=Content;

coreDB.Open();
int recordsAffected=insertCMD.ExecuteNonQuery();
if(recordsAffected==1)Response.Write("<script>alert('"+ "插入成功" +"');</script>");
coreDB.Close(); 

### SQL单引号与双引号的区别 在 SQL 语句中,单引号和双引号有着不同的用途。 #### 单引号 单引号主要用于表示字符串常量。当需要在查询中指定具体的字符数据,应当使用单引号包裹该串内容。例如,在 `SELECT` 或者 `INSERT INTO ... VALUES (...)` 这样的命令里给定具体文字值的候就需要这样做[^1]: ```sql -- 插入一条记录,其中包含字符串类型的字段值 INSERT INTO employees (first_name, last_name) VALUES ('John', 'Doe'); ``` 需要注意的是,对于 Oracle 数据库而言,任何被单引号包围的内容都将被视为普通的文本字符串,即使它看起来像是数据库里的某个对象的名字也不行。 #### 双引号 相比之下,双引号则通常用来标识那些可能含有特殊字符或者是大小写敏感的对象名——比如表名、视图名或者其他模式级别的实体名称。这允许开发者创建带有保留字作为名字的数据结构或是保持命名的一致性而不用担心大小写的转换问题。 ```sql -- 创建一个名为 "Employee Details" 的表,注意这里用了大写字母和空格 CREATE TABLE "Employee Details" ( id NUMBER PRIMARY KEY, name VARCHAR2(50) ); ``` 另外,在某些情况下,像 PostgreSQL 这样的 RDBMS 支持利用双引号来强制区分大小写的标识符处理方式;然而并不是所有的关系型数据库管理系统都遵循这一规则。 #### 特殊情况下的用户密码 针对特定环境如 Oracle 用户账户设置中的密码部分,虽然同样不允许采用单引号形式输入,但是无论是否加上双引号都会按照原始输入(即区分大小写)保存下来。 总结来说,理解并正确运用这两种不同风格的引用符号有助于编写更加清晰且无误的 SQL 脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值