SQLServer中单引号的两种处理技巧

---- 和数据库打交道要频繁地用到SQL语句，除非你是全部用控件绑定的方式，但采用控件绑定的方式存在着灵活性差、效率低、功能弱等等缺点。因此，大多数的程序员极少或较少用这种绑定的方式。而采用非绑定方式时许多程序员大都忽略了对单引号的特殊处理，一

　　---- 和数据库打交道要频繁地用到SQL语句，除非你是全部用控件绑定的方式，但采用控件绑定的方式存在着灵活性差、效率低、功能弱等等缺点。因此，大多数的程序员极少或较少用这种绑定的方式。而采用非绑定方式时许多程序员大都忽略了对单引号的特殊处理，一旦SQL语句的查询条件的变量有单引号出现，数据库引擎就会报错指出SQL语法不对，本人发现有两种方法可以解决和处理这种单引号的问题（以VB为例子）。
　　
　　---- 方法一：利用转义字符处理SQL语句。下面的函数可以在执行SQL语句前调用,执行处理后的结果即可产生正确的结果。
　　
　　Function ProcessStr(str As String)
　　Dim pos As Integer
　　Dim stedest As String
　　　pos = InStr(str, "'")
　　　
　　While pos > 0
　　str = Mid(str, 1, pos) & "'" & Mid(str, pos + 1)
　　pos = InStr(pos + 2, str, "'")
　　Wend
　　ProcessStr = str
　　End Function
　　
　　---- 其中str参数是你的SQL字符串。函数一旦发现字符串中有单引号出现，就在前面补上一个单引号。
　　---- 方法二：利用数据对象中的参数。可以利用ADODB.COMMAND对象，把含有单引号的字符串传递给COMMAND，然后执行查询等操作即可。
　　
　　---- 以上两种方法比较，方法一增加了系统处理时间，方法二简洁、高效，如果采用存储过程，然后再传递参数给存储过程，存储过程是预编译的，这样系统的效率更高。
　　
　　---- 下面就举例子加以说明。
　　
　　---- 新建一个项目，项目中有一个窗体（Form1），两个命令按钮，一个MSFlexGrid，名称分别为：Command1，Command2，MSFlexGrid1,一个COMBOX（COMBO1），它的内容预先设定为"Paolo''f"、"Paolo'f"。Command1演示方法一，Command2演示方法二，MSFlexGrid1存储方法二查询(SELECT)结果。对于其他的SQL操作（INSERT、DELTER、UPDATAE）方法极为类似，笔者就不再赘述。例子中用到sql server(WINDOWS平台上强大的数据库平台)中的PUBS数据库中的EMPLOYEE表，同时可以用SQL语法把其中两条记录中的FNAME改为"Paolo''f"、"Paolo'f"。 SQL语法如下：
　　
　　update employee set fname=" Paolo''''f"　
　　where emp_id='PMA42628M'
　　update employee set fname=" Paolo''f"　
　　where emp_id='PMA42628M'
　　
　　---- 程序如下：
　　---- 首先把前面的函数加入。
　　
　　---- 在窗体的通用中声明如下变量：
　　
　　Dim cnn1 As ADODB.Connection　'连接
　　Dim mycommand As ADODB.Command '命令
　　Dim rstByQuery As ADODB.Recordset '结果集
　　Dim strCnn As String　'连接字符串
　　Private Sub Form_Load()
　　　Set cnn1 = New ADODB.Connection　'生成一个连接
　　　strCnn = "driver=&＃123;sql server(WINDOWS平台上强大的数据库平台)&＃125;;" & _
　　　　　"server=ZYX_pc;uid=sa;pwd=PCDC;database=pubs" '
　　没有系统数据源使用连接字符串
　　　
　　'strCnn = "DSN=mydsn;UID=sa;PWD=;"
　　'DATABASE=pubs;Driver=&＃123;sql server(WINDOWS平台上强大的数据库平台)&＃125;;SERVER=gzl_pc" '
　　如果系统数据源MYDSN指向PUBS数据库，也可以这样用
　　cnn1.Open strCnn, , , 0 '打开连接
　　End Sub
　　Private Sub Command1_Click()　　'演示字符处理
　　Dim i As Integer
　　Dim j As Integer
　　　Set parm = New ADODB.Parameter
　　Set mycommand = New ADODB.Command
　　
　　Dim str As String
　　str = Combo1.Text
　　str = ProcessStr (str)
　　mycommand.ActiveCOnnection= cnn1　 '
　　指定该command 的当前活动连接
　　mycommand.CommandText = " select * from
　　employee where fname = '" & str & "'"
　　mycommand.CommandType = adCmdText　 '表明command 类型
　　Set rstByQuery = New ADODB.Recordset
　　Set rstByQuery = mycommand.Execute()
　　i = 0
　　Do While Not rstByQuery.EOF
　　i = i + 1　　'　i 中保存记录个数
　　rstByQuery.MoveNext
　　Loop
　　MSFlexGrid1.Rows = i + 1　'动态设置MSFlexGrid的行和列
　　MSFlexGrid1.Cols = rstByQuery.Fields.count + 1
　　MSFlexGrid1.Row = 0
　　For i = 0 To rstByQuery.Fields.count - 1
　　MSFlexGrid1.Col = i + 1
　　MSFlexGrid1.Text = rstByQuery.Fields.Item(i).Name
　　Next　 '设置第一行的标题，用域名填充
　　
　　i = 0
　　'Set rstByQuery = mycommand.Execute()
　　rstByQuery.Requery
　　Do While Not rstByQuery.EOF
　　　i = i + 1
　　　MSFlexGrid1.Row = i　'确定行
　　　For j = 0 To rstByQuery.Fields.count - 1
　　　MSFlexGrid1.Col = j + 1
　　　MSFlexGrid1.Text = rstByQuery(j)　'添充所有的列
　　　Next
　　rstByQuery.MoveNext
　　
　　　 Loop　'这个循环用来填充MSFlexGrid的内容
　　End Sub
　　Private Sub Command2_Click()'参数方法
　　Dim i As Integer
　　　 Dim j As Integer
　　
　　Set parm = New ADODB.Parameter
　　Set mycommand = New ADODB.Command
　　
　　' parm_jobid.Name = "name1"　this line can be ommited
　　parm.Type = adChar '参数类型
　　parm.Size = 10　　　　　'参数长度
　　parm.Direction = adParamInput '参数方向，输入或输出
　　parm.Value = Combo1.Text　　　'参数的值
　　mycommand.Parameters.Append parm　'加入参数
　　　
　　mycommand.ActiveCOnnection= cnn1　 '
　　指定该command 的当前活动连接
　　mycommand.CommandText = " select *
　　from employee where fname =? "　　　　
　　mycommand.CommandType = adCmdText　 '表明command 类型
　　Set rstByQuery = New ADODB.Recordset
　　Set rstByQuery = mycommand.Execute()
　　i = 0
　　Do While Not rstByQuery.EOF
　　i = i + 1　　'　i 中保存记录个数
　　rstByQuery.MoveNext
　　Loop
　　MSFlexGrid1.Rows = i + 1　'动态设置MSFlexGrid的行和列
　　MSFlexGrid1.Cols = rstByQuery.Fields.count + 1
　　MSFlexGrid1.Row = 0
　　For i = 0 To rstByQuery.Fields.count - 1
　　MSFlexGrid1.Col = i + 1
　　MSFlexGrid1.Text = rstByQuery.Fields.Item(i).Name
　　Next　 '设置第一行的标题，用域名填充
　　
　　i = 0
　　rstByQuery.Requery
　　Do While Not rstByQuery.EOF
　　　i = i + 1
　　　MSFlexGrid1.Row = i　'确定行
　　　For j = 0 To rstByQuery.Fields.count - 1
　　　MSFlexGrid1.Col = j + 1
　　　MSFlexGrid1.Text = rstByQuery(j)　'添充所有的列
　　　Next
　　rstByQuery.MoveNext
　　
　　　 Loop　'这个循环用来填充MSFlexGrid的内容
　　End Sub
　　
　　---- 查询部分可以用存储过程以提高处理效率，减低网络流量。
　　---- 本程序在NT WORKSTATION 4.0 SP4、sql server(WINDOWS平台上强大的数据库平台) 7.0 上调试通过。