Hỏi đáp
Chia sẻ kiến thức, cùng nhau phát triển
Em có một biến chứa truy vấn sau: String sql="select * from Hang1 where TenHang like '%"+t+"%' "; . Vấn đề em gặp phải là khi người dùng nhập vào biến t , kiểu như t=tom's
. Lúc này câu truy vấn của em sẽ bị sai : select * from Hang1 where TenHang like '%tom's%' , phần s%' nó sẽ báo lỗi. Anh chị có cách nào giả quyết được cái dấu ' trong biến t đó không ạ. Em cảm ơn.
nó là 1 dạng lỗi của sql injection đó bạn. nên muốn đưa vào là ' thì dùng 2 dấu nháy đơn ''. nhớ là 2 dấu nháy đơn chứ k phải 1 nháy kép nhé "