sql语言特殊字符处理

我们都知道SQL Server查询过程中，单引号“'”是特殊字符，所以在查询的时候要转换成双单引号“''”。
但这只是特殊字符的一个，在实际项目中，发现对于like操作还有以下特殊字符：下划线“_”，百分号“%”，方括号“[]”以及尖号“^”。
其用途如下：
下划线：用于代替一个任意字符（相当于正则表达式中的 ? ）
百分号：用于代替任意数目的任意字符（相当于正则表达式中的 * ）
方括号：用于转义（事实上只有左方括号用于转义，右方括号使用最近优先原则匹配最近的左方括号）
尖号：用于排除一些字符进行匹配（这个与正则表达式中的一样）

以下是一些匹配的举例，需要说明的是，只有like操作才有这些特殊字符，=操作是没有的。
a_b... a[_]b%
a%b... a[%]b%
a[b... a[[]b%
a]b... a]b%
a[]b... a[[]]b%
a[^]b... a[[][^]]b%
a[^^]b... a[[][^][^]]b%

在实际进行处理的时候，对于=操作，我们一般只需要如此替换：
' -> ''
对于like操作，需要进行以下替换（注意顺序也很重要）
[ -> [[] (这个必须是第一个替换的!!)
% -> [%] (这里%是指希望匹配的字符本身包括的%而不是专门用于匹配的通配符)
_ -> [_]
^ -> [^]

在sql语句中，有些特殊字符，是sql保留的。比如 ' [ ] 等。我们可以先看看它们的用法。

当需要查询某数据时，加入条件语句，或着当你需要insert记录时，我们用 ' 来将字符类型的数据引起来。比如：
Select * from Customers where City = 'London'

当表的名字或列的名字中，含有空格等一些特殊字符时，我们需要用[] 将表名引起来，告诉语法分析器，[]号内的才是一个完整的名称。比如

Select * from [Order Details]

如果，字符数据中，含有 ' 改怎么办呢？其实，好多人在这里并没有处理字符川中 ' 符号，才造成sql 注射危险。就那上面的那个例子。在Sql语句拼接的时代，比如

string sql = "select * from Customers where CustomerID = '" + temp + "'";

如果，我给temp赋值为 Tom' or 1=1 --- 
那么你拼接起来的语句为 select * from Customers where CustomerID = 'Tom' or 1=1 --- '
哈哈，1=1 衡为真，---会把后面的sql语句注释掉。而前面因为有输入的 ' 而使的语句是合法的。那or的条件，会把所有的记录都选出来。这就是sql注入。在做用户登陆时，如果没有处理该问题，那你的系统受危害的可能性会很高的。
如何处理字符数据中的 ' 符号呢？ 方法很简单，用两个 ' 符号代替一个。 比如，其实际传入的值为Lon'don，处理后为
Select * from Customers where City = 'Lon''don'
就可以了。

如果表或列的名称中含有 [ 或 ] 字符呢？比如Select * from [Order] Details]，那中间 ] 符号岂不是先和第一个[ 配了。后面的就是非法的了。怎么办呢？ 简单，使用 ]] 代替 ] 。对于[，则无须处理。那就该为
Select * from [Order]] Details]。