vijay_bale Ответов: 1

Проблема возникает при добавлении специального символа " '".

Я создал несколько текстовых полей, чтобы принять их в put.Эти данные я использую для некоторых заголовков отчетов. Но у меня возникают проблемы, когда я пытаюсь ввести подобное слово Бейкера с этим специальным символом. Как я могу справиться с этим?

Что я уже пробовал:

Я погуглил, но не смог найти подходящего решения.

Patrice T

У вас есть код ?

BillWoodruff

Что вы используете для создания "отчетов"?

vijay_bale

отчет Crystal

1 Ответов

Рейтинг:
11

OriginalGriff

Просто: никогда не объединяйте строки для построения SQL-команды. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку с точки зрения SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x'; DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?