转义不需要的字符，主要是单引号 --replace 函数及实现

Posted 2023-04-19

【中文标题】转义不需要的字符，主要是单引号 --replace 函数及实现

【英文标题】：Escaping unwanted characters, mainly single quotes --replace function and implementation

【发布时间】：2012-07-10 14:57:49

【问题描述】：

我只是在测试我的数据库，我意识到当我的数据库中的文本条目包含' 字符（单引号）时，我会遇到问题。我现在的解决方案是，在对字符串进行任何 .execute 操作之前，我调用escape(string, "'", " "'" ")。

下面总结的例子：

qr = "INSERT INTO tblExample VALUES ( " & "'" & me.testparam & "'" & ");"
qr = Replace(qr, "'", " "'" ")
db.execute qr
'also tried  qr = "INSERT INTO tblExample VALUES ( " & "'" & replace(me.testparam,"'"," ") & "'" & ");"

我认为这是防止Tourette's 等值出错的正确解决方法。

这有两个问题。首先，它不起作用。其次，我在整个应用程序中的代码中有 50 多个位置，我在其中调用语句 db.execute qr，其中 qr 是一个可能包含单引号的字符串。我需要表中的字段包含单引号，所以我不能只用空格或类似的东西替换它。

两部分问题：

有没有比在每个要作为查询执行的字符串上调用 Replace 的所有代码更好的解决方案？

为什么我当前的实现失败了？ - 即使将单引号转义为空格，我仍然在查询表达式中遇到语法错误。

【问题讨论】：

你试过用''（两个单引号）替换每个''吗？不确定访问，但这就是我通常在 SQL 中转义 ' 的方式。

好吧，它正在将单引号转义到一个空格中，但插入仍然不起作用。没有错误……但没有数据。之前的字符串：“插入 tblTest 值（'tourette's'）；”和之后：“插入 tblTest Values('Tourette s');”

"Insert into tblTest Values('tourette''s');" 是 @Tim 试图表明的 - 注意两个单引号

你的意思是“INSERT INTO tblTest Values (" & "'" & replace(me.field,"'","''") & "'" & ");" ?我会试试的。编辑 - 引用非常难以阅读，但你明白了。调用替换单引号作为第一个参数，两个单引号（不是双引号？）作为第二个？

@Scott 是的 - 你可以通过加倍来逃避单引号。

【参考方案1】：

首先检查这两行。

"VALUES ( " & "'" & me.testparam & "'" & ");"
"VALUES ( '" & me.testparam & "');"

两者都会产生完全相同的字符串。对我来说不同的是，我的大脑更快地理解了第二个版本。

现在，这是 cmets 告诉您的... 将源字符串中的每个单引号替换为两个单引号。我添加了Debug.Print，这样您就可以在立即窗口中查看完成的字符串（使用 Ctrl+g 转到那里）...然后您可以看到实际的字符串，而不是试图想象它的样子。

qr = "INSERT INTO tblExample VALUES ( '" & _
    Replace(Me.testparam, "'", "''" & "');"
Debug.Print qr
db.Execute qr, dbFailOnError 

由于我假设 db 是 DAO.Database 对象变量，因此我包含了 dbFailOnError 选项。您应该在代码中包含一个错误处理程序来处理dbFailOnError 暴露的任何问题。

当您在查询中遇到 VBA 函数问题时，请转到“立即”窗口并在那里测试您的函数表达式。这会触发编译错误，“Expected: list separator or )”：

? Replace("Tourette's", "'", " "'" ")

但这一个有效：

? Replace("Tourette's", "'", "''")
Tourette''s

我提到它是因为它通常很有用，还因为您的标题以“转义不需要的字符，主要是单引号”开头。因此，如果您想删除/替换其他字符，而不仅仅是单引号，请在“立即”窗口中进行试验，直到找到有效的 Replace() 表达式。然后在查询中使用该表达式。

例如，如果不需要的字符包括换行符...

MyString = "foo" & vbCrlf & "bar" : ? MyString
foo
bar
? Replace(MyString, Chr(13) & Chr(10), " ")
foo bar

注意：我使用 Chr(13) & Chr(10) 而不是 vbCrlf 作为查找目标，因为 db 引擎可以使用 Chr() 函数但不知道命名常量 (vbCrlf)。

【讨论】：

replace(me.test,"'","''") 有效。我以前有双引号而不是两个单引号，因为我在网上遵循一个示例并误读了它。我想我需要跟踪我的所有代码并为我在 VBA 中执行的每个查询调用它，除非有更简单的解决方法。谢谢。

对于处理单引号，Remou 的 QueryDef/Parameters 建议巧妙地避免了这个问题。将其应用到任何可以使用的地方。在其他地方，您可以使用自定义函数来包装 Replace()，但我怀疑这样做的好处是否合理。同时，我仍然想知道您是否打算将问题的范围限制为单引号作为唯一的特殊字符。

实际上，我的问题范围可能不仅仅是单引号——单引号只是给我带来问题的具体问题。我想知道是否有类似 php 的 mysql_real_escape_string 的访问权限可以转义所有可疑字符。

不完全是。参数可以避免一些问题。但如果你想要更接近mysql_real_escape_string 的东西，恐怕你必须自己动手，或者找别人写的代码...... Access 的内置功能集中没有涵盖它。

好的。浏览我当前的项目并重新编码我所有的 VBA 生成的查询以使用参数而不是连接，这可能比值得花更多的时间，但在未来，我将按照 Remou 的建议实施它。除了单引号之外，是否有任何特定字符可能会给我带来问题？我并不真正担心防止恶意注入或任何事情，因为我怀疑任何员工有能力或倾向于这样做，但可能偶尔会使用单引号、斜杠和破折号等字符。

【参考方案2】：

您的查询失败，因为您没有说明插入位置：

Dim qd As QueryDef
qr = "INSERT INTO tblExample (AText) VALUES ( [avalue] );"

Set qd = CurrentDB.CreateQueryDef("",qr)
qd.Parameters("avalue").Value = me.testparam
qd.Execute dbFailOnError

【讨论】：

这种分配参数而不是连接的方法是否可以转义单引号？我按照上面 Hans 的实现，用两个单引号替换了单引号，它起作用了，但你的实现似乎也很有趣。

@Scott 是的。这些天通常推荐参数。这也意味着您不必担心分隔符。

【参考方案3】：

另一种方法是将引号定义为常量 (Const Quote = """") 并使用它来构建 SQL 语句。不可能将引号定义为 Const Quote = Chr(34)，因为常量定义不能基于函数，因此必须连续使用四个双引号。第三个引号是您要保存的内容，第二个引号是为了排除第三个引号，第一个和最后一个引号是因为您分配的值是一个字符串。

然后您将能够构建 SQL 语句，例如：

SQL = SELECT * FROM tblSyndromes
WHERE Syndrome = " & Quote & "Tourette's" & Quote & ";"

您的数据中是否有单引号将不再重要。

我不使用参数，就好像我将我的数据库升级到 sql server 并将我的查询转换为传递查询一样，我不能使用参数。我很少升级，但我在这个假设下编写了所有代码。此外，如果您的查询未按预期工作，如何找出问题所在。如果我有一个名为 SQL 的变量，那么我总是可以打印 SQL 语句并在新查询中运行它以查看它的作用。