Karakter Escape di SQL Server

Question 1

Saya ingin menggunakan kutipan dengan karakter pelarian. Bagaimana saya bisa melakukannya?

Saya telah menerima kesalahan di SQL Server

Tanda kutip tidak ditutup setelah string karakter.

Saya menulis kueri SQL dalam varcharvariabel tetapi saya telah menerima kesalahan itu:

Tanda kutip tidak ditutup setelah string karakter.

Saya ingin menggunakan tanda kutip sebagai karakter melarikan diri.

Question 2

Untuk melarikan diri 'Anda hanya perlu meletakkan yang lain sebelumnya:''

Seperti yang ditunjukkan oleh jawaban kedua, mungkin untuk menghindari kutipan tunggal seperti ini:

select 'it''s escaped'

hasilnya akan

it's escaped

Jika Anda menggabungkan SQL menjadi VARCHAR untuk dieksekusi (yaitu SQL dinamis), maka saya akan merekomendasikan parameterisasi SQL. Ini memiliki manfaat membantu menjaga terhadap injeksi SQL plus berarti Anda tidak perlu khawatir tentang keluar dari kutipan seperti ini (yang Anda lakukan dengan menggandakan tanda kutip).

misalnya daripada melakukan

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = ''AAA'''
EXECUTE(@SQL)

coba ini:

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = @Field1'
EXECUTE sp_executesql @SQL, N'@Field1 VARCHAR(10)', 'AAA'

Question 3

Anda dapat menghindari kutipan seperti ini:

select 'it''s escaped'

hasilnya akan

it's escaped

Question 4

Anda dapat menentukan karakter pelarian Anda, tetapi Anda hanya dapat menggunakannya dengan LIKEklausa.

Contoh:

SELECT columns FROM table
WHERE column LIKE '%\%%' ESCAPE '\'

Di sini ia akan mencari %seluruh string dan ini adalah bagaimana seseorang dapat menggunakan ESCAPEpengenal di SQL Server.

Question 5

Anda hanya perlu mengganti 'dengan ''inside string Anda

SELECT colA, colB, colC
FROM tableD
WHERE colA = 'John''s Mobile'

Anda juga dapat menggunakan REPLACE(@name, '''', '''''')jika membuat SQL secara dinamis

Jika Anda ingin keluar di dalam pernyataan like maka Anda perlu menggunakan sintaks ESCAPE

Perlu juga disebutkan bahwa Anda membiarkan diri Anda terbuka terhadap serangan injeksi SQL jika Anda tidak mempertimbangkannya. Info lebih lanjut di Google atau: http://it.toolbox.com/wiki/index.php/How_do_I_escape_single_quotes_in_SQL_queries%3F

Question 6

Kutipan melarikan diri di MSSQL dilakukan dengan tanda kutip ganda, sehingga a ''atau a ""akan menghasilkan satu lolos 'dan ", masing-masing.

Question 7

Anda dapat menggunakan **\**karakter sebelum nilai yang ingin Anda hilangkan misalnya insert into msglog(recipient) values('Mr. O\'riely') select * from msglog where recipient = 'Mr. O\'riely'

Question 8

Jika Anda ingin melepaskan input pengguna dalam variabel, Anda dapat melakukan seperti di bawah ini dalam SQL

  Set @userinput = replace(@userinput,'''','''''')

@Userinput sekarang akan di-escape dengan satu kutipan ekstra untuk setiap kemunculan kutipan

Question 9

WHERE username LIKE '%[_]d';            -- @Lasse solution
WHERE username LIKE '%$_d' ESCAPE '$';
WHERE username LIKE '%^_d' ESCAPE '^';

DARI: SQL Server Escape an Underscore

Question 10

Agar kode mudah dibaca, Anda dapat menggunakan tanda kurung siku []untuk mengutip string yang berisi 'atau sebaliknya.

Answer 1

95

Saya ingin menggunakan kutipan dengan karakter pelarian. Bagaimana saya bisa melakukannya?

Saya telah menerima kesalahan di SQL Server

Tanda kutip tidak ditutup setelah string karakter.

Saya menulis kueri SQL dalam varcharvariabel tetapi saya telah menerima kesalahan itu:

Tanda kutip tidak ditutup setelah string karakter.

Saya ingin menggunakan tanda kutip sebagai karakter melarikan diri.

sql-server escaping char esquare
sumber

4

Bisakah Anda menunjukkan pertanyaannya kepada kami ??

marc_s

2

Kemungkinan duplikat Bagaimana cara lolos dari satu kutipan di SQL Server?

Jens Schauder

Answer 2

4

Bisakah Anda menunjukkan pertanyaannya kepada kami ??

marc_s

Answer 3

2

Kemungkinan duplikat Bagaimana cara lolos dari satu kutipan di SQL Server?

Jens Schauder

Answer 4

79

Untuk melarikan diri 'Anda hanya perlu meletakkan yang lain sebelumnya:''

Seperti yang ditunjukkan oleh jawaban kedua, mungkin untuk menghindari kutipan tunggal seperti ini:

select 'it''s escaped'

hasilnya akan

it's escaped

Jika Anda menggabungkan SQL menjadi VARCHAR untuk dieksekusi (yaitu SQL dinamis), maka saya akan merekomendasikan parameterisasi SQL. Ini memiliki manfaat membantu menjaga terhadap injeksi SQL plus berarti Anda tidak perlu khawatir tentang keluar dari kutipan seperti ini (yang Anda lakukan dengan menggandakan tanda kutip).

misalnya daripada melakukan

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = ''AAA'''
EXECUTE(@SQL)

coba ini:

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = @Field1'
EXECUTE sp_executesql @SQL, N'@Field1 VARCHAR(10)', 'AAA'

AdaTheDev
sumber

30

Mengapa ini jawaban yang diterima? Itu tidak menjawab pertanyaan itu.

Peter Moore

3

@PeterMoore Entah OP akan menggunakan bagian pertama dari jawaban saya (menggandakan tanda kutip, sesuai jawaban lain di bawah), atau akan menggunakan pendekatan pilihan yang saya rekomendasikan untuk membangun kueri SQL dalam variabel string - untuk menggunakan parameterized SQL. Apa pun itu, keduanya adalah jawaban atas pertanyaan

AdaTheDev

Itu tidak menjawab pertanyaan itu. Terkadang pengguna membutuhkan koneksi ODBC yang berarti Anda hanya dapat menggunakan SQL murni.

Tony

Jawaban yang diedit untuk lebih jelas dan lebih sesuai dengan pertanyaan

Revious

Answer 5

30

Mengapa ini jawaban yang diterima? Itu tidak menjawab pertanyaan itu.

Peter Moore

Answer 6

3

@PeterMoore Entah OP akan menggunakan bagian pertama dari jawaban saya (menggandakan tanda kutip, sesuai jawaban lain di bawah), atau akan menggunakan pendekatan pilihan yang saya rekomendasikan untuk membangun kueri SQL dalam variabel string - untuk menggunakan parameterized SQL. Apa pun itu, keduanya adalah jawaban atas pertanyaan

AdaTheDev

Answer 7

Itu tidak menjawab pertanyaan itu. Terkadang pengguna membutuhkan koneksi ODBC yang berarti Anda hanya dapat menggunakan SQL murni.

Tony

Answer 8

Jawaban yang diedit untuk lebih jelas dan lebih sesuai dengan pertanyaan

Revious

Answer 9

123

Anda dapat menghindari kutipan seperti ini:

select 'it''s escaped'

hasilnya akan

it's escaped

dugokontov
sumber

Ini harus menjadi jawabannya.

Tony

Answer 10

Ini harus menjadi jawabannya.

Tony

Answer 11

Anda dapat menentukan karakter pelarian Anda, tetapi Anda hanya dapat menggunakannya dengan LIKEklausa.

Contoh:

SELECT columns FROM table
WHERE column LIKE '%\%%' ESCAPE '\'

Di sini ia akan mencari %seluruh string dan ini adalah bagaimana seseorang dapat menggunakan ESCAPEpengenal di SQL Server.

Answer 12

21

Anda hanya perlu mengganti 'dengan ''inside string Anda

SELECT colA, colB, colC
FROM tableD
WHERE colA = 'John''s Mobile'

Anda juga dapat menggunakan REPLACE(@name, '''', '''''')jika membuat SQL secara dinamis

Jika Anda ingin keluar di dalam pernyataan like maka Anda perlu menggunakan sintaks ESCAPE

Perlu juga disebutkan bahwa Anda membiarkan diri Anda terbuka terhadap serangan injeksi SQL jika Anda tidak mempertimbangkannya. Info lebih lanjut di Google atau: http://it.toolbox.com/wiki/index.php/How_do_I_escape_single_quotes_in_SQL_queries%3F

Seph
sumber

namun jawaban oleh dugokontov atau RichardPianka tidak memiliki kesamaan -1?

Seph

@MichaelMunsey mencobanya sendiri: select 'kembalikan kesalahan Unclosed quotation mark after the character string ''. Tidak ada dalam jawaban saya yang saya gunakan "hanya dua ', tidak yakin mengapa jawaban saya adalah satu-satunya jawaban dengan suara rendah.

Seph

Answer 13

namun jawaban oleh dugokontov atau RichardPianka tidak memiliki kesamaan -1?

Seph

Answer 14

@MichaelMunsey mencobanya sendiri: select 'kembalikan kesalahan Unclosed quotation mark after the character string ''. Tidak ada dalam jawaban saya yang saya gunakan "hanya dua ', tidak yakin mengapa jawaban saya adalah satu-satunya jawaban dengan suara rendah.

Seph

Answer 15

12

Kutipan melarikan diri di MSSQL dilakukan dengan tanda kutip ganda, sehingga a ''atau a ""akan menghasilkan satu lolos 'dan ", masing-masing.

Richard Pianka
sumber

Answer 16

Anda dapat menggunakan **\**karakter sebelum nilai yang ingin Anda hilangkan misalnya insert into msglog(recipient) values('Mr. O\'riely') select * from msglog where recipient = 'Mr. O\'riely'

Answer 17

Jika Anda ingin melepaskan input pengguna dalam variabel, Anda dapat melakukan seperti di bawah ini dalam SQL

  Set @userinput = replace(@userinput,'''','''''')

@Userinput sekarang akan di-escape dengan satu kutipan ekstra untuk setiap kemunculan kutipan

Answer 18

0

WHERE username LIKE '%[_]d';            -- @Lasse solution
WHERE username LIKE '%$_d' ESCAPE '$';
WHERE username LIKE '%^_d' ESCAPE '^';

DARI: SQL Server Escape an Underscore

R. Alonso
sumber

Answer 19

-2

Agar kode mudah dibaca, Anda dapat menggunakan tanda kurung siku []untuk mengutip string yang berisi 'atau sebaliknya.

Ben
sumber

Ini salah Tanda kurung bekerja pada karakter ilegal di bidang, tabel, atau nama skema.

Jamie Marshall

Ya, Anda benar, ini untuk nama objek, bukan konten string. Saya harus salah membaca pertanyaan.

Ben

Answer 20

Ini salah Tanda kurung bekerja pada karakter ilegal di bidang, tabel, atau nama skema.

Jamie Marshall

Answer 21

Ya, Anda benar, ini untuk nama objek, bukan konten string. Saya harus salah membaca pertanyaan.

Ben

Karakter Escape di SQL Server

Jawaban: