当前位置: 首页 > 图文教程 > 网络编程 > ASP > 解决ASP执行DB查询中的特殊字符问题

ASP
ASP调用ORACLE存储过程并返回结果集
用ASP实现网页BBS
关于Global.asa文件的深入研究与session变量失效提示的具体方法
简易ASP+注册系统
防护手册:如何防止ASP木马在服务器上运行
用Visual Basic实现多画面播放功能之二
如何增强ASP程序性能(1)
如何增强ASP程序性能(2)
如何增强ASP程序性能(3)
ASP备份数据库
二十八条改善 ASP 性能和外观的技巧
在Form域中Post大于100K的数据
如何使用ASP制作模似动态生长的表单?
Microsoft IIS 真的如此「不安全」吗?(1)
Microsoft IIS 真的如此「不安全」吗?(2)
Microsoft IIS 真的如此「不安全」吗?(3)
Microsoft IIS 真的如此「不安全」吗?(4)
Microsoft IIS 真的如此「不安全」吗?(5)
关于页面和代码分离
ServerVariables 对路径的操作

解决ASP执行DB查询中的特殊字符问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 91 ::
收藏到网摘: n/a

在进行数据库的查询时,会经常遇到这样的情况:
  例如想在一个用户数据库中查询他的用户名和他的密码,但恰好该用户使用的名字和密码中有特殊的字符,例如单引号,“|”号,双引号或者连字符“&”。

  例如他的名字是1'test,密码是A|&900,这时当你执行以下的查询语句时,肯定会报错:
  SQL = "SELECT * FROM SecurityLevel WHERE UID='" & UserID & "'"
  SQL = SQL & " AND PWD='" & Password & "'"

  因为你的SQL将会是这样:
  SELECT * FROM SecurityLevel WHERE UID='1'test' AND PWD='A|&900'

  在SQL中,"|"为分割字段用的,显然会出错了。现在提供下面的几个函数,专门用来处理这些头疼的东西:

Function ReplaceStr (TextIn, ByVal SearchStr As String, _

  ByVal Replacement As String, _

  ByVal CompMode As Integer)

  Dim WorkText As String, Pointer As Integer

If IsNull(TextIn) Then

  ReplaceStr = Null

Else

  WorkText = TextIn

  Pointer = InStr(1, WorkText, SearchStr, CompMode)

Do While Pointer > 0

  WorkText = Left(WorkText, Pointer - 1) & Replacement & _

  Mid(WorkText, Pointer + Len(SearchStr))

  Pointer = InStr(Pointer + Len(Replacement), WorkText, _

  SearchStr, CompMode)

Loop

  ReplaceStr = WorkText

End If

End Function



Function SQLFixup(TextIn)

  SQLFixup = ReplaceStr(TextIn, "'", "''", 0)

End Function



Function JetSQLFixup(TextIn)

  Dim Temp

  Temp = ReplaceStr(TextIn, "'", "''", 0)

  JetSQLFixup = ReplaceStr(Temp, "|", "' & chr(124) & '", 0)

End Function



Function FindFirstFixup(TextIn)

  Dim Temp

  Temp = ReplaceStr(TextIn, "'", "' & chr(39) & '", 0)

  FindFirstFixup = ReplaceStr(Temp, "|", "' & chr(124) & '", 0)

End Function



  有了上面几个函数后,当你在执行一个sql前,请先使用:
  SQL = "SELECT * FROM SecurityLevel WHERE UID='" & SQLFixup(UserID) & "'"
  SQL = SQL & " AND PWD='" & SQLFixup(Password) & "'"