Question

DECLARE @SQL Varchar(Max)
DECLARE @DESCR Varchar(Max)

-- Customer enters description into @Descr
SET @SQL = 'Update TableName SET FieldName='''
+ @DESCR
+ ''' WHERE ID=123'

Проблема в том, что клиент вводит апостроф в переменную @Descr.

В: В Microsoft SQL Server 2005 как заменить все апострофы двойным апострофом?

Martin Smith · Answer 1 · 17 сентября 2010

Если это вообще должен быть динамический SQL (код, который вы показали, не делает), тогда используйте параметризованный SQL и sp_executesql для этого, чтобы избежать возможности внедрения SQL.

DECLARE @SQL NVarchar(Max)
DECLARE @DESCR NVarchar(Max)

-- Customer enters description into @Descr


SET @SQL = 'Update TableName SET FieldName=@DESCR WHERE ID=123'

exec sp_executesql @SQL, N'@DESCR NVarchar(Max)', @DESCR =@DESCR

Even Mien · Answer 2 · 17 сентября 2010

Не рекомендуется для производства, но будет работать.

SET @DESCR = REPLACE(@DESCR, '''', '''''')

АПОСТРОФ ДИНАМИЧЕСКИЙ SQL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

АПОСТРОФ ДИНАМИЧЕСКИЙ SQL

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы