如何清理ODBC数据库输入? [英] How to sanitize ODBC database input?
本文介绍了如何清理ODBC数据库输入?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我当前使用的是MySql,但希望使用ODBC解决方案来作进一步的证明.
I currently use MySql, but would prefer an ODBC solution to make it future proof.
在将用户输入传递到ODBC数据库之前,如何清理用户输入?
How do I sanitize user input before passing it to an ODBC database ?
而且,在我处理时,我用双引号将字符串包装起来,例如"INSERT INTO VALUES(description)"`-但是,如果文本本身包含双引号怎么办?
And, while I'm at it, I wrap my string in double quotes, e.g. "INSERT INTO VALUES(description) ""` - but what if the text itself contains a double quote?
推荐答案
尝试使用参数化的SQL语句
Try using a parametrized SQL sentence
像这样
INSERT INTO MyTable (Field1,Field2) VALUES (:Param1,:Param2)
从embarcadero查看此文章,以获取有关如何使用参数的更多信息 Using Parameters in Queries.
check this article from embarcadero for more info about how use parameters Using Parameters in Queries.
这篇关于如何清理ODBC数据库输入?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文