由于 ' (单引号)是SQL的标准字符符号,所以在SQL语句中间遇到 ' 时要做特殊处理。
1. 使用 QuotedStr 函数
QuotedStr的作用是使字符串包含单引号:
在字符的前后加上( ')号,因为在DELPHI中字符赋值是需要引号的
比如
CommandText := CommandText + QuotedStr(Edit1.Text);
Sql := 'select ... from ... where uName=' + QuotedStr(Edit1.Text);
上面的语句还可以写成:
Sql := 'select ... from ... where uName=' + Char(39) + stringreplace(Edit1.Text,'''','''''',[rfReplaceAll])+ Char(39);
Char(39) 代码一个分号 stringreplace 把字符串中的单引号换成两个单引号,只是还是QuotedStr好用,前后加了单引号而且把见到的单引号都替换成两个单引号了;
2、采用替代法 即用 " 代替 ' ,正好delphi有现在的函数,
例如:
UName :=stringreplace(ComBoUser.Text,[rfReplaceAll]);
UPwd :=StringReplace(EPassword.Text,[rfReplaceAll]);
Sql :='select UAuth from VUser where UName=''' +UName +''' and UPwd=''' +UPwd +'''';
adoquery1.SQL.Add(Sql);
3、采用参数法 即用参数代替变量 ,此时不需要对变量做任何处理,例如: AdoQuery1.SQL.Add('update GoodsReason set GRCode =:VC,GRName =:VN where GID =:ID'); AdoQuery1.Parameters.Clear; AdoQuery1.Parameters.CreateParameter('VC',ftString,pdinput,10,EGCode.Text ); AdoQuery1.Parameters.CreateParameter('VN',20,EGName.Text ); AdoQuery1.Parameters.CreateParameter('ID',ftInteger,8,StrToInt(GoodsId.Caption)); AdoQuery1.ExecSQL ;
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。