SQL过滤
xsunx 2005-01-13 11:15:37 有如下代码方案。
Function SQLEncode(ByVal fString) 'SQL过滤
If Not isnull(fString) Then
fString = Replace(fString, "'","''")
fString = Replace(fString, ";","")
fString = Replace(fString,Chr(34), "''")
SQLEncode = fString
End If
End Function
但我觉得不够好,这样的话。
;就不能输入了。因为会被过滤。
在SQL中究竟那些字符需要过滤。
那些字符有特殊的符号代替输入如:''代表'
insert into [test]([fields1]) values ('a''a')实际上插入的内容为a'a