1、保存进去的时候,如果是用的数据绑定的方法,不用任何处理! 如果使用的写插入的SQL语句,只要单引号替换成两个单引号即可 2、取出显示 下面是我以前写的ASP函数,稍作转换,可在VB.NET中使用 rem 输出前的字符转换(写在输出框内(input)的,回车和空格以及单引号不转换) function htmlencode_Input(str) dim result dim l if isNULL(str) then HtmlEncode_Input="" exit function end if l=len(str) result="" dim i for i = 1 to l select case mid(str,i,1) case "<" result=result+"<" case ">" result=result+">" case chr(34) result=result+""" case "&" result=result+"&" case else result=result+mid(str,i,1) end select next HtmlEncode_Input=result end function rem 输出前的字符转换(仅显示,不写在输出框内的) function HtmlEncode_Display(InputString) HtmlEncode_Display=InputString HtmlEncode_Display=HtmlEncode_Input(HtmlEncode_Display) HtmlEncode_Display=replace(HtmlEncode_Display,chr(13),"<br>") 'HtmlEncode_Display=replace(HtmlEncode_Display," "," ") end function
如果使用的写插入的SQL语句,只要单引号替换成两个单引号即可
2、取出显示
下面是我以前写的ASP函数,稍作转换,可在VB.NET中使用
rem 输出前的字符转换(写在输出框内(input)的,回车和空格以及单引号不转换)
function htmlencode_Input(str)
dim result
dim l
if isNULL(str) then
HtmlEncode_Input=""
exit function
end if
l=len(str)
result=""
dim i
for i = 1 to l
select case mid(str,i,1)
case "<"
result=result+"<"
case ">"
result=result+">"
case chr(34)
result=result+"""
case "&"
result=result+"&"
case else
result=result+mid(str,i,1)
end select
next
HtmlEncode_Input=result
end function
rem 输出前的字符转换(仅显示,不写在输出框内的)
function HtmlEncode_Display(InputString)
HtmlEncode_Display=InputString
HtmlEncode_Display=HtmlEncode_Input(HtmlEncode_Display)
HtmlEncode_Display=replace(HtmlEncode_Display,chr(13),"<br>")
'HtmlEncode_Display=replace(HtmlEncode_Display," "," ")
end function
我是这样写:
str.Replace("'","''");
应该这样写:
str = str.Replace("'","''");