网上看到很多的解决方案都是说将一个单引号'替换成另个单引号'' 然后在插入数据库,但是结果是虽然插入成功了但是取出来的结果在页面显示却是两个单引号'',请各位大虾帮帮忙啊

解决方案 »

  1.   

    你的insert 语句怎么写的?
      

  2.   

    用的是SqlParameter  然后插入的时候先把'替换成'' 如"'abc".Replace("'","''");
      

  3.   

    SqlParameter 不需要处理单引号
    只有拼接sql时,才需要处理字符串里的单引号为2个
      

  4.   

    关键是现在的sql有的是用拼接sql 有的是SqlParameter 现在要怎么办啊
      

  5.   

    用SqlParameter就不需要替换成两个单引号了。关于sql注入攻击了解不?
      

  6.   

    关键是现在的sql有的是用拼接sql   有的是SqlParameter   现在要怎么办啊
    [/Quote]
    使用SqlParameter的不需要替换,你只要替换拼接的部分就可以了
      

  7.   

    关键是现在的sql有的是用拼接sql   有的是SqlParameter   现在要怎么办啊
    [/Quote]
    悲催,要么取内容的时候把两个单引号转换成一个单引号,要么都换成SqlParameter类型的sql吧
      

  8.   

    使用SqlParameter的不需要替换,你只要替……
    [/Quote]项目很大啊,N人做的底层,我现在要调用底层,统一一个过滤的方法处理的,现在不行了
      

  9.   

    还有什么解决方案啊,帮帮忙 !!!!
    单引号'替换为'都试过了,只可惜有的是用户html标签,有的是用服务器控件,对服务器器控件赋值了value,这样其实在页面上还是'