如何清理ODBC数据库输入? [英] How to sanitize ODBC database input?

问题描述

我当前使用的是MySql，但希望使用ODBC解决方案来作进一步的证明.

I currently use MySql, but would prefer an ODBC solution to make it future proof.

在将用户输入传递到ODBC数据库之前，如何清理用户输入?

How do I sanitize user input before passing it to an ODBC database ?

而且，在我处理时，我用双引号将字符串包装起来，例如"INSERT INTO VALUES(description)"`-但是，如果文本本身包含双引号怎么办?

And, while I'm at it, I wrap my string in double quotes, e.g. "INSERT INTO VALUES(description) ""` - but what if the text itself contains a double quote?

推荐答案

尝试使用参数化的SQL语句

Try using a parametrized SQL sentence

像这样

INSERT INTO MyTable (Field1,Field2) VALUES (:Param1,:Param2)

从embarcadero查看此文章，以获取有关如何使用参数的更多信息 Using Parameters in Queries.

check this article from embarcadero for more info about how use parameters Using Parameters in Queries.

这篇关于如何清理ODBC数据库输入?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！