首先接受一个概念:asp中只承认双引号,Access SQL中只承认单引号,HTML由于其不严谨,单双引号都承认。以上是我的一点经验总结,最终正确性还有待证实。
在asp中,要输出一个双引号,需要使用转义字符:两个双引号("")。
例如,
要输出字符串 abc , 则 response.write("abc")
要输出字符串 "abc , 则 response.write("""abc") //两边的双引号括起,表示内部为一个字符串。终于剩余两个双引号,转义输出为一个双引号。
要输出字符串 ab"c , 则 response.write("ab""c")
要输出一个双引号 " , 则 response.write("""") //这就是解释了为什么要写四个双引号了
此外,还有另外一种方法,就是使用ACSII字符
例如,
要输出 ab"c , 则 response.write("ab" & chr(34) & "c")
接下来,让我们再看看SQL中的单引号问题。我们考虑这个问题,主要是为了允许自己在进行字符串数据库处理的时候不至于出错,和防止SQL注入。
来看看最简单的SQL注入,有一个留言板,其表单有一个name项。
在目标页面,有如下代码:
<%
name = Request.Form("name")
Conn.Execute "Insert Into GuestBook (name) VALUES (’" & name &"’)"
%>
如果我们提交的name为 Jacky, 则上面的SQL语句为 Insert Into GuestBook (name) VALUES (’Jacky’),很明显,这样符合我们的本意。
可是,如果我们提交的是 I’m Jacky, 则上面的语句变为 Insert Into GuestBook (name) VALUES (’I’m Jacky’), 然后,不幸的事情发生了,系统找到的第一个单引号是I’m中的单引号,于是系统认为用户想提交的字符串(包括引号)仅仅只是’I’.接下来的 m Jacky’) 系统就无法解释了,于是就认为你的语法错了。
如何解决呢?那就是再进行数据库处理前先将一个单引号替换为两个单引号,让系统将其解释为转义字符,代码如下:
<%
name = Request.Form("name")
name = Replace(name, "’", "’’") //即 name = Replace(name, chr(39), chr(39)&chr(39))
Conn.Execute "Insert Into GuestBook (name) VALUES (’" & name &"’)"
%>
再提交 I’m Jacky, SQL语句变为 Insert Into GuestBook (name) VALUES (’I’’m Jacky’), 在写入数据的时候,SQL会自动识别出两个单引号的转义字符,从而最终写入数据库的数据则为 I’m Jacky ,这就是我们所期待的正确结果。