SQL特殊字符处理

用户输入如果没有任何限制的话,则必须对特殊字符进行变换。 如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。 不过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。 例:SELECT * FROM TBL WHERE COL = 'ABC''DEF'; 模糊查询…