Escape-символ в SQL Server

Question

Я хочу использовать цитату с escape-символом. Как я могу сделать?

Я получил ошибку в SQL Server

Незакрытая кавычка после строка символов.

Я пишу SQL-запрос в переменной varchar, но получил эту ошибку:

Незакрытая кавычка после строка символов.

Я хочу использовать кавычку в качестве escape-символа.

Заранее спасибо

Answer 1

Вы можете избежать цитаты, как это:

select 'it''s escaped'

результат будет

it's escaped

Answer 2

Если вы объединяете SQL в VARCHAR для выполнения (то есть динамический SQL), то я бы рекомендовал параметризовать SQL.Это дает преимущество защиты от внедрения SQL, а также означает, что вам не нужно беспокоиться о экранировании таких кавычек (что вы делаете, удваивая кавычки).*

попробуйте это:

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = @Field1'
EXECUTE sp_executesql @SQL, N'@Field1 VARCHAR(10)', 'AAA'

Answer 3

Вы можете определить свой escape-символ, но вы можете использовать его только с предложением LIKE.

Пример:

SELECT columns FROM table
WHERE column LIKE '%\%%' ESCAPE '\'

Здесь он будет искать % во всей строке, и вот как можно использовать ESCAPE идентификатор в SQL Server.

Answer 4

Вам нужно просто заменить ' на '' внутри вашей строки

SELECT colA, colB, colC
FROM tableD
WHERE colA = 'John''s Mobile'

Вы также можете использовать REPLACE(@name, '''', ''''''), если генерируете SQL динамически

Если вы хотите выйти из оператора like, вам нужно использовать синтаксис ESCAPE

Стоит также отметить, что вы оставляете себя открытым для атак с использованием SQL-инъекций, если не учитываете это. Больше информации в Google или: http://it.toolbox.com/wiki/index.php/How_do_I_escape_single_quotes_in_SQL_queries%3F

Answer 5

Экранирование кавычек в MSSQL выполняется двойной кавычкой, поэтому '' или "" создаст один экранированный ' и " соответственно.

Answer 6

Чтобы код был легко читаемым, вы можете использовать квадратные скобки [], чтобы заключить строку, содержащую ' или наоборот.