用户输入如果没有任何限制的话,则必须对特殊字符进行变换。如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。不过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。
例:SELECT * FROM TBL WHERE COL = 'ABC''DEF';
模糊查询的语句虽然不会发生sql错误,但是不进行回避的话,则无法得到要检索的值。回避方法较单引号复杂。需要使用转义符。将[%]转为[\%]、[_]转为[\_], 然后再加上[ESCAPE '']就可以了。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_%' ESCAPE '';
※最后一个%是通配符。
如果做日文项目的话,会出现全角字符的[%]、[_], 而这两个全角字符同样会作为半角通配符处理。所以在变换时,同时需要将全角的[%]、[_]进行变换。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_%_%' ESCAPE '';
变换成这样似乎结束了,可是不要忘了还有转义符自身,万一用户输入转义符的话,
以上的处理就会发生sql错误。所以也必须对转义符进行变换。变换方法就是将[]转换为[]。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_%_%' ESCAPE '';
以上的操作都针对于一般的数据类型,如CHAR、VARCHAR2。 如果出现NCHAR、NVARCHAR2的话,以上的处理就会出现ORA-01425错误。
如果改成以下写法,则会发生ORA-01424错误。
SELECT * FROM TBL WHERE COL LIKE '%_%' ESCAPE TO_NCHAR('')
正确的写法应该是
SELECT * FROM TBL WHERE COL LIKEC '%_%' ESCAPE TO_NCHAR('')
最后要说明的是每个like都应该写ESCAPE语句。
例:
SELECT * FROM TBL
WHERE COL1 LIKE '%_%' ESCAPE '' OR COL2 LIKE '%_%' ESCAPE ''
CREATE TABLE #TEMP (Charcater varchar(50))
insert into #TEMP
values
('werwerweerwe[werwe]werwerwer')
insert into #TEMP
values
('werwerweerwe[zzzzzzzzzz')
insert into #TEMP
values
('werwerweerwe]zzzzzzzzzz')
select * from #TEMP where Charcater like '%]%'
select * from #TEMP where Charcater like '%[[]%'
如果查询‘[’的则like后应些成[[],而’]‘,则直接写成]
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
