admin 管理员组

文章数量: 1184232

由于 ' (单引号)是SQL的标准字符符号,所以在SQL语句中间遇到 ' 时要做特殊处理。

1. 使用 QuotedStr 函数

QuotedStr的作用是使字符串包含单引号:

在字符的 前后 加上( ')号,因为在DELPHI中字符赋值是需要引号的

比如
CommandText   :=   CommandText   +   QuotedStr(Edit1.Text);

Sql := 'select ... from ... where uName=' + QuotedStr(Edit1.Text);

上面的语句还可以写成:

Sql := 'select ... from ... where uName='  + Char(39) + stringreplace( Edit1 .Text,'''','''''',[rfReplaceAll]) + Char(39) ;


2、采用替代法 即用 " 代替 ' ,正好delphi有现在的函数,例如: 

UName :=stringreplace(ComBoUser.Text,'''','''''',[rfReplaceAll]);

UPwd :=StringReplace(EPassword.Text ,'''','''''',[rfReplaceAll]);

Sql :='select UAuth from VUser where UName=''' +UName +''' and UPwd=''' +UPwd +'''';

adoquery1.SQL.Add(Sql);



3、采用参数法 即用参数代替变量 ,此时不需要对变量做任何处理,例如: 

AdoQuery1.SQL.Add('update GoodsReason set GRCode =:VC,GRName =:VN where GID =:ID');

AdoQuery1.Parameters.Clear;

AdoQuery1.Parameters.CreateParameter('VC',ftString,pdinput,10,EGCode.Text );

AdoQuery1.Parameters.CreateParameter('VN',ftString,pdinput,20,EGName.Text );

AdoQuery1.Parameters.CreateParameter('ID',ftInteger,pdinput,8,StrToInt(GoodsId.Caption));

AdoQuery1.ExecSQL ;

本文标签: 函数 编程 例如

版权声明:本文标题:SQL编程:巧妙避开单引号陷阱的小技巧 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1773359919a3561048.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。