Znak ucieczki w SQL Server

Question 1

Chcę użyć cudzysłowu ze znakiem ucieczki. Jak mam to zrobić?

Otrzymałem błąd w SQL Server

Niezamknięty cudzysłów po ciągu znaków.

Piszę zapytanie SQL w varcharzmiennej, ale otrzymałem ten błąd:

Niezamknięty cudzysłów po ciągu znaków.

Chcę użyć cudzysłowu jako znaku zmiany znaczenia.

Question 2

Aby uciec, 'musisz po prostu umieścić inny przed:''

Jak pokazuje druga odpowiedź, możliwe jest uniknięcie pojedynczego cudzysłowu w ten sposób:

select 'it''s escaped'

wynik będzie

it's escaped

Jeśli łączysz SQL z VARCHAR w celu wykonania (np. Dynamiczny SQL), to polecam parametryzację SQL. Ma to tę zaletę, że pomaga chronić przed wstrzyknięciem SQL, a ponadto oznacza, że nie musisz się martwić o unikanie cudzysłowów w ten sposób (co robisz, podwajając cudzysłowy).

np. zamiast robić

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = ''AAA'''
EXECUTE(@SQL)

Spróbuj tego:

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = @Field1'
EXECUTE sp_executesql @SQL, N'@Field1 VARCHAR(10)', 'AAA'

Question 3

Możesz uniknąć cytatu w ten sposób:

select 'it''s escaped'

wynik będzie

it's escaped

Question 4

Możesz zdefiniować swój znak ucieczki, ale możesz go używać tylko z LIKEklauzulą.

Przykład:

SELECT columns FROM table
WHERE column LIKE '%\%%' ESCAPE '\'

Tutaj będzie szukać %całego ciągu i tak można użyć ESCAPEidentyfikatora w SQL Server.

Question 5

Trzeba po prostu wymienić 'się ''wewnątrz łańcucha

SELECT colA, colB, colC
FROM tableD
WHERE colA = 'John''s Mobile'

Możesz także użyć REPLACE(@name, '''', '''''') przypadku dynamicznego generowania kodu SQL

Jeśli chcesz uciec wewnątrz instrukcji like, musisz użyć składni ESCAPE

Warto również wspomnieć, że jeśli się nad tym nie zastanawiasz, narażasz się na ataki typu SQL injection. Więcej informacji w Google lub: http://it.toolbox.com/wiki/index.php/How_do_I_escape_single_quotes_in_SQL_queries%3F

Question 6

Unikanie cudzysłowów w MSSQL odbywa się za pomocą podwójnego cudzysłowu, więc a ''lub a ""utworzą odpowiednio jeden znak ze znakiem ucieczki 'i ".

Question 7

Możesz użyć **\**znaku przed wartością, którą chcesz uciec, np insert into msglog(recipient) values('Mr. O\'riely') select * from msglog where recipient = 'Mr. O\'riely'

Question 8

Jeśli chcesz uniknąć wprowadzania danych przez użytkownika w zmiennej, możesz zrobić jak poniżej w SQL

  Set @userinput = replace(@userinput,'''','''''')

@Userinput będzie teraz poprzedzony dodatkowym pojedynczym cudzysłowem dla każdego wystąpienia cytatu

Question 9

WHERE username LIKE '%[_]d';            -- @Lasse solution
WHERE username LIKE '%$_d' ESCAPE '$';
WHERE username LIKE '%^_d' ESCAPE '^';

OD: SQL Server Escape an underscore

Question 10

Aby kod był łatwy do odczytania, możesz użyć nawiasów kwadratowych w []celu zacytowania ciągu zawierającego 'lub odwrotnie.

Answer 1

95

Chcę użyć cudzysłowu ze znakiem ucieczki. Jak mam to zrobić?

Otrzymałem błąd w SQL Server

Niezamknięty cudzysłów po ciągu znaków.

Piszę zapytanie SQL w varcharzmiennej, ale otrzymałem ten błąd:

Niezamknięty cudzysłów po ciągu znaków.

Chcę użyć cudzysłowu jako znaku zmiany znaczenia.

sql-server escaping char esquare
źródło

4

Czy możesz nam pokazać zapytanie?

marc_s

2

Możliwy duplikat Jak uniknąć pojedynczego cudzysłowu w programie SQL Server?

Jens Schauder

Answer 2

4

Czy możesz nam pokazać zapytanie?

marc_s

Answer 3

2

Możliwy duplikat Jak uniknąć pojedynczego cudzysłowu w programie SQL Server?

Jens Schauder

Answer 4

79

Aby uciec, 'musisz po prostu umieścić inny przed:''

Jak pokazuje druga odpowiedź, możliwe jest uniknięcie pojedynczego cudzysłowu w ten sposób:

select 'it''s escaped'

wynik będzie

it's escaped

Jeśli łączysz SQL z VARCHAR w celu wykonania (np. Dynamiczny SQL), to polecam parametryzację SQL. Ma to tę zaletę, że pomaga chronić przed wstrzyknięciem SQL, a ponadto oznacza, że nie musisz się martwić o unikanie cudzysłowów w ten sposób (co robisz, podwajając cudzysłowy).

np. zamiast robić

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = ''AAA'''
EXECUTE(@SQL)

Spróbuj tego:

DECLARE @SQL NVARCHAR(1000)
SET @SQL = 'SELECT * FROM MyTable WHERE Field1 = @Field1'
EXECUTE sp_executesql @SQL, N'@Field1 VARCHAR(10)', 'AAA'

AdaTheDev
źródło

30

Dlaczego jest to akceptowana odpowiedź? Nie odpowiada na pytanie.

Peter Moore,

3

@PeterMoore Albo OP użyłby pierwszej części mojej odpowiedzi (podwajając cudzysłowy, jak w innych odpowiedziach poniżej), albo użyłby preferowanego podejścia, które zaleciłem do tworzenia zapytania SQL w zmiennej łańcuchowej - aby użyć sparametryzowanego SQL. Tak czy inaczej, oba są odpowiedziami na pytanie

AdaTheDev,

Nie odpowiada na pytanie. Czasami użytkownik potrzebuje połączenia ODBC, co oznacza, że można używać tylko czystego SQL.

Tony

Zredagowana odpowiedź, aby była bardziej przejrzysta i lepiej pasowała do pytania

Revious

Answer 5

30

Dlaczego jest to akceptowana odpowiedź? Nie odpowiada na pytanie.

Peter Moore,

Answer 6

3

@PeterMoore Albo OP użyłby pierwszej części mojej odpowiedzi (podwajając cudzysłowy, jak w innych odpowiedziach poniżej), albo użyłby preferowanego podejścia, które zaleciłem do tworzenia zapytania SQL w zmiennej łańcuchowej - aby użyć sparametryzowanego SQL. Tak czy inaczej, oba są odpowiedziami na pytanie

AdaTheDev,

Answer 7

Nie odpowiada na pytanie. Czasami użytkownik potrzebuje połączenia ODBC, co oznacza, że można używać tylko czystego SQL.

Tony

Answer 8

Zredagowana odpowiedź, aby była bardziej przejrzysta i lepiej pasowała do pytania

Revious

Answer 9

123

Możesz uniknąć cytatu w ten sposób:

select 'it''s escaped'

wynik będzie

it's escaped

dugokontov
źródło

To powinna być odpowiedź.

Tony

Answer 10

To powinna być odpowiedź.

Tony

Answer 11

Możesz zdefiniować swój znak ucieczki, ale możesz go używać tylko z LIKEklauzulą.

Przykład:

SELECT columns FROM table
WHERE column LIKE '%\%%' ESCAPE '\'

Tutaj będzie szukać %całego ciągu i tak można użyć ESCAPEidentyfikatora w SQL Server.

Answer 12

21

Trzeba po prostu wymienić 'się ''wewnątrz łańcucha

SELECT colA, colB, colC
FROM tableD
WHERE colA = 'John''s Mobile'

Możesz także użyć REPLACE(@name, '''', '''''') przypadku dynamicznego generowania kodu SQL

Jeśli chcesz uciec wewnątrz instrukcji like, musisz użyć składni ESCAPE

Warto również wspomnieć, że jeśli się nad tym nie zastanawiasz, narażasz się na ataki typu SQL injection. Więcej informacji w Google lub: http://it.toolbox.com/wiki/index.php/How_do_I_escape_single_quotes_in_SQL_queries%3F

Seph
źródło

a jednak odpowiedzi dugokontowa czy RichardaPianki nie mają podobnych -1?

Seph

@MichaelMunsey spróbuj sam: select 'zwraca błąd Unclosed quotation mark after the character string ''. Nigdzie w mojej odpowiedzi nie używam "tylko dwóch ', nie jestem pewien, dlaczego moja jest jedyną odpowiedzią z głosami negatywnymi.

Seph

Answer 13

a jednak odpowiedzi dugokontowa czy RichardaPianki nie mają podobnych -1?

Seph

Answer 14

@MichaelMunsey spróbuj sam: select 'zwraca błąd Unclosed quotation mark after the character string ''. Nigdzie w mojej odpowiedzi nie używam "tylko dwóch ', nie jestem pewien, dlaczego moja jest jedyną odpowiedzią z głosami negatywnymi.

Seph

Answer 15

12

Unikanie cudzysłowów w MSSQL odbywa się za pomocą podwójnego cudzysłowu, więc a ''lub a ""utworzą odpowiednio jeden znak ze znakiem ucieczki 'i ".

Richard Pianka
źródło

Answer 16

0

Możesz użyć **\**znaku przed wartością, którą chcesz uciec, np insert into msglog(recipient) values('Mr. O\'riely') select * from msglog where recipient = 'Mr. O\'riely'

Ziemianin paradoks
źródło

Answer 17

Jeśli chcesz uniknąć wprowadzania danych przez użytkownika w zmiennej, możesz zrobić jak poniżej w SQL

  Set @userinput = replace(@userinput,'''','''''')

@Userinput będzie teraz poprzedzony dodatkowym pojedynczym cudzysłowem dla każdego wystąpienia cytatu

Answer 18

0

WHERE username LIKE '%[_]d';            -- @Lasse solution
WHERE username LIKE '%$_d' ESCAPE '$';
WHERE username LIKE '%^_d' ESCAPE '^';

OD: SQL Server Escape an underscore

R. Alonso
źródło

Answer 19

-2

Aby kod był łatwy do odczytania, możesz użyć nawiasów kwadratowych w []celu zacytowania ciągu zawierającego 'lub odwrotnie.

Ben
źródło

To jest niepoprawne. Nawiasy działają na niedozwolonych znakach w nazwach pól, tabel lub schematów.

Jamie Marshall

Tak, masz rację, chodzi o nazwy obiektów, a nie zawartość ciągu. Muszę źle odczytać pytanie.

Ben,

Answer 20

To jest niepoprawne. Nawiasy działają na niedozwolonych znakach w nazwach pól, tabel lub schematów.

Jamie Marshall

Answer 21

Tak, masz rację, chodzi o nazwy obiektów, a nie zawartość ciągu. Muszę źle odczytać pytanie.

Ben,

Znak ucieczki w SQL Server

Odpowiedzi: