在 SQL 中插入包含单引号 ' 的字符串

Question

我已经看到了很多解决方案，我不知道该遵循哪一个。 我认为我所拥有的会起作用，但经过进一步测试，我发现这不是真的。 我正在使用 VB 从给定的文件目录中提取 MS Excel 工作表，提取数据，然后插入到 SQL 数据表中。

这是我需要帮助的部分：

 If saRet(linex, 11) <> "" Then
 IntDesc = (saRet(linex, 11).ToString.Replace("'", "''"))
 Echo("Internal description: " & IntDesc)
        Else
           Echo("No internal description given")
           IntDesc = ""
 End If

在 SQL Server Studio 中篡改了一些测试插入语句后，我认为将 ' 替换为 '' 有效。很遗憾，没有。

下面是一个导致插入失败的字符串示例：

Set-up and Config of New Button on BP and UDF's for Despatch Process

在我的字符串操作之后，这里是插入语句（我已经删除了一些我的公司可能不想分享的数据，反正它是微不足道的）：

NSERT INTO <tablename> VALUES ('2013-12-10', '12', '2013', 'AAAA', 'AAAA', '10668', 'JBT', 'Project - Config & System Build', 'CSB', '2', 'Y', 'N', '0', 'Set-up and Config of New Button on BP and UDF's for Despatch Process', 'Set-up and Config of New Button on BP and UDF''s for Despatch Process', '0', 'NULL')

非常感谢您的帮助！ 谢谢。

Answer 1

最好的方法总是使用参数。那些为你处理一切，你不需要做任何逃避。

如果不能使用参数，则必须自己进行编码，这非常棘手。一种方法是使用可以安全编码的格式 - 例如，您可以使用二进制编码（例如cast(0xAABBCCDD as varchar(max))），而不是作为字符串文字插入。这是非常安全的，因为您可以确定没有无效字符会破坏它。当然，它也有它的问题。

就您的示例而言，将 ' 替换为 '' 可以正常工作（当然，您必须注意其他无效字符，例如尾行）。您的问题是您没有对 all 字符串进行编码。在您的示例中，最后一个字符串具有正确的编码，之前的字符串没有。这也很好地说明了确保正确编码的痛苦——你错过的一切都意味着一个错误，甚至是一种利用代码并造成伤害的方法。例如，如果描述是', ''0'', ''NULL''); delete from users --，会怎样？