3

在我的 ColdFusion 11 应用程序中,使用 SQL Server 2008-R2,我在 CF 组件中跟踪了 cfquery 标记:

<cfquery name="result_set" dataSource="#request.dsn_name#">
    select name, state from myTable #REReplace(where_clause,"''","'","ALL")#        
</cfquery>

where_clause是一个变量。CF 将一个单引号替换为两个,因此我使用 REReplace 函数将两个单引号替换为一个。所以我的查询发生了变化,例如从

select name, state from myTable WHERE name IN (''ABC'')

对此:

 select name, state from myTable WHERE name IN ('ABC')

问题是名称列值也包含单引号时。例如

select name, state from myTable WHERE name IN ('Smith's bat')

在这种情况下,查询失败。我该如何解决这种情况。我尝试了PreserveSingleQuotes但它有同样的问题,列的值带有单引号。

更新

这个应用程序是几年前由使用 ColdFusion MX 7 的人开发的。原作者正在根据某些条件为 where_clause 变量创建动态字符串。这是一个长 cfs 文件,其中包含用于为 where_clause 创建动态字符串的多个条件。因此,使用 cfqueryparam 可能不合适,或者可能需要对客户不允许的代码进行彻底检查。

4

2 回答 2

1

您需要这样使用函数 PreserveSingleQuotes:

<cfquery name="result_set" dataSource="#request.dsn_name#">
    select name, state from myTable #PreserveSingleQuotes(REReplace(where_clause,"''","'","ALL"))#        
</cfquery>

祝你有美好的一天!

于 2015-11-10T17:41:09.020 回答
1

这是一个讨厌的问题。恐怕我只能想出一个讨厌的“解决方案”。

  • 替换值分隔符:<cfset where_clause = replace(where_clause, "''", "§§", "ALL")>
  • 然后转义实际的单引号:<cfset where_clause = replace(where_clause, "'", "\'", "ALL")>
  • 现在恢复替换并规范化分隔符:<cfset where_clause = replace(where_clause, "§§", "'", "ALL")>

把它放在一起:

<cfset substitution = "§§"> <!--- use whatever char sequence works best for your data --->

<!--- fallback in case the substitution is part of your data --->
<cfif where_clause contains substitution>

    <cfset substitution = "°°°">
    <!---
        you can basically start looping through a bunch of alternatives
        or even expand the substition with an additional character
        ...you get the idea
    --->

</cfif>

<cfset where_clause = replace(where_clause, "''", substitution, "ALL")>
<cfset where_clause = replace(where_clause, "'", "\'", "ALL")>
<cfset where_clause = replace(where_clause, substitution, "'", "ALL")>

<cfquery...

如您所见,这仍然存在很大问题,并且可能有一天会失败。但是,只要您必须处理where_clause变量,就可能没有更好的选择。

于 2015-11-07T01:22:37.257 回答