C# экранирование кавычек?

Question

[des1roer]

вопрос достаточно простой. как при запросе к базе экранировать двойные кавычки и как быть с длинными строками?

string sql = "SELECT  \"ID_TagName\", \"F_ComPort\", \"F_ComPortBaudRate\", \"F_ComQuery\", \"F_ParseFunction\", \"F_TagReadTime\", \"F_AnswerLenght\", \"F_AnswerKey\", ";
                sql += "\"F_AnswerKeyPosition\", \"F_ComPortIPAdress\", \"F_ComPortParity\", \"F_ComPortDataBits\", \"F_ComPortStopBit\", \"F_ComPortFlowControl\", ";
                sql += "\"F_ComPortTimeOut\" FROM \"SC_Tag\".\"T_TagName\" as tn,\"SC_Tag\".\"T_HardWareTag\" as hw , \"SC_Tag\".\"T_RealHardWare\" as rh where ";
                sql += "rh.\"ID_RealHardWare\" = hw.\"F_RealHardWare_ID\" and tn.\"F_HardWare_ID\" = hw.\"F_TagName_ID\" and lower(\"F_ServerName\") =lower(\'" + my_name + "\') and \"F_ComPortIPAdress\" = '127.0.0.1' ";

а то это вырвиглаз полный

Comments

[Дмитрий Ковальский]

Конкатенирование sql-запроса - смертный грех программирования, которому нет оправданий. Никаких вообще. Если хотите чтобы вас хотябы рассмотрели в качестве кандидата на должность программиста - сделайте как вам показал Артем Воронов.

[des1roer]

я и так программист. кст а вот такой подход вроде как изящней?
sql = "WHERE rh.""ID_RealHardWare"" = hw.""F_RealHardWare_ID""
AND tn.""F_HardWare_ID"" = hw.""F_TagName_ID""
AND ""F_ComPortIPAdress"" = '127.0.0.1'
AND lower(""F_ServerName"") =lower('{0}')", Name;

Answer 1

[des1roer]

волшебная собака всему голова. правда кавычки нужно дважды писать

string sql = @"SELECT ""ID_TagName"",
                                   ""F_ComPort"",
                                   ""F_ComPortBaudRate"",
                                   ""F_ComQuery"",
                                   ""F_ParseFunction"",
                                   ""F_TagReadTime"",
                                   ""F_AnswerLenght"",
                                   ""F_AnswerKey"",
                                   ""F_AnswerKeyPosition"",
                                   ""F_ComPortIPAdress"",
                                   ""F_ComPortParity"",
                                   ""F_ComPortDataBits"",
                                   ""F_ComPortStopBit"",
                                   ""F_ComPortFlowControl"",
                                   ""F_ComPortTimeOut""
                            FROM ""SC_Tag"".""T_TagName"" AS tn,
                                 ""SC_Tag"".""T_HardWareTag"" AS hw,
                                 ""SC_Tag"".""T_RealHardWare"" AS rh
                            WHERE rh.""ID_RealHardWare"" = hw.""F_RealHardWare_ID""
                              AND tn.""F_HardWare_ID"" = hw.""F_TagName_ID""                              
                              AND ""F_ComPortIPAdress"" = '127.0.0.1'
                              AND lower(""F_ServerName"") =lower('" + Name + "')";

Answer 2

[Артем Воронов]

А почему не пользуетесь параметрами запроса? И код будет читабельный, в отличие от того что сейчас, и с экранированием проблем меньше будет.

string commandText = "UPDATE Sales.Store SET Demographics = @demographics WHERE CustomerID = @ID;";
SqlCommand command = new SqlCommand(commandText, connection);
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID;
command.Parameters.AddWithValue("@demographics", demoXml);

Comments

[des1roer]

в четырех строках передается 1 параметр. а вот ни кавычки ни много строк ваш ответ не решает

[Артем Воронов]

des1roer: Если посмотреть код внимательно, то можно увидеть, что одна строка - один параметр. command.Parameters.AddWithValue("@demographics", demoXml); Но действительно, если много строк в самом запросе - это проблему не решит.
Все таки присмотритесь к параметром - это хорошая практика, вместо того чтобы из кусков строку собирать.

[des1roer]

взял на заметку

[des1roer]

кст а вот такой подход вроде как изящней?
sql = "WHERE rh.""ID_RealHardWare"" = hw.""F_RealHardWare_ID""
AND tn.""F_HardWare_ID"" = hw.""F_TagName_ID""
AND ""F_ComPortIPAdress"" = '127.0.0.1'
AND lower(""F_ServerName"") =lower('{0}')", Name;

[Станислав Макаров]

des1roer такой подход заканчивается инъекцией рано или поздно. Таки используйте prepared statements.

[Роман]

Станислав Макаров: поддерживаю. des1roer: ничем не изящнее, параметризированные запросы, защита от инекций, и удобочитаемость

Answer 3

[Виталий Литвинюк]

В sql запросах названия таблиц и столбцов не надо заключать в кавычки. Если название таблицы/столбца совпадает с зарезервированным, например User - пишешь название в квадратных скобках (example [User]).
Длинные строки можно писать с переносом так:

var longString = "long string "
				+ "long string "
				+ "long string";

Comments

[des1roer]

если не видите - оно так и сделано. а вот кавычки для Postgres ой как нужны для имен столбцов с большой буквы

[Виталий Литвинюк]

des1roer: ну тогда надо было дать немного контекста, про постгрес, а не ставить вопрос абстрактно

[des1roer]

я ж привел строку запроса. там явно кавычки указаны. и в теме вопроса про кавычки

Answer 4

[Роман]

В перечислении полей в select не обязательно их в кавычки заключать, как и имена таблиц (за исключением, когда совпадают с зарезервированными выражениями SQL). вполне прекрасно работает такой запрос SELECT Id,Name,EMail,Age,City FROM Sample.dbo.Users, без кучи кавычек.