Как мне работать с котировками ' в SQL

Escape-символ - это', поэтому вам нужно будет заменить цитату двумя кавычками.

Например,

SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe'

становится

SELECT * FROM PEOPLE WHERE SURNAME='O''Keefe'

Тем не менее, вероятно, неправильно делать это самостоятельно. Ваш язык может иметь функцию для экранирования строк для использования в SQL,но еще лучше использовать параметры. Обычно это работает следующим образом.

Ваша команда SQL будет :

SELECT * FROM PEOPLE WHERE SURNAME=?

Затем, когда вы выполняете его, вы передаете в качестве параметра "O'Keefe".

Поскольку SQL анализируется до того, как будет задано значение параметра, нет никакого способа для значения параметра изменить структуру SQL (и это даже немного быстрее, если вы хотите запустить один и тот же оператор несколько раз с разными параметрами).

Я также должен отметить, что, хотя ваш пример просто вызывает ошибку, вы открываете себя для многих других проблем, не экранируя строки соответствующим образом. Смотрите http://en.wikipedia.org/wiki/SQL_injection для хорошей отправной точки или следующий классический комикс xkcd .

Oracle 10 Решение

SELECT * FROM PEOPLE WHERE SURNAME=q'{O'Keefe}'

Параметризованные запросы - это ваш друг, как предложил Мэтт.

Command = SELECT * FROM PEOPLE WHERE SURNAME=?

Они защитят вас от головной боли, связанной с

• Строки с кавычками
• Запрос с использованием дат
• SQL инъекция

Использование параметризованного SQL имеет и другие преимущества, оно уменьшает накладные расходы CPU (а также другие ресурсы) в Oracle за счет уменьшения объема работы Oracle, необходимой для разбора оператора. Если вы не используете параметры (мы называем их переменными привязки в Oracle), то "select * from foo where bar='cat'" и "select * from foo where bar='dog'" рассматриваются как отдельные операторы, где as "select * from foo where bar=:b1"-это один и тот же оператор, означающий такие вещи, как синтаксис, валидность объектов, на которые ссылаются etc...do, не нужно проверять снова. Существуют случайные проблемы, возникающие при использовании переменных привязки, которые обычно проявляются в том, что не удается получить наиболее эффективный план выполнения SQL, но для этого есть обходные пути, и эти проблемы действительно зависят от используемых предикатов, индексации и перекоса данных.

Фильтрация входных данных обычно выполняется на уровне языка, а не на уровне базы данных.
php и .NET имеют свои соответствующие библиотеки для экранирования операторов sql. Проверьте свой язык, посмотрите, что доступно в waht.
Если ваши данные надежны,то вы можете просто сделать замену строки, чтобы добавить еще один ' infront of the ', чтобы избежать его. Обычно этого достаточно, если нет никаких рисков, что ввод является вредоносным.

Я полагаю, что хороший вопрос заключается в том, какой язык вы используете?
В PHP вы бы сделали: SELECT * от людей, где фамилия= ' mysql_escape_string(O'Keefe)'
Но поскольку вы не указали язык, я предлагаю вам посмотреть на функцию escape string mysql или иначе в вашем языке.

Чтобы разобраться с котировками если вы используете Zend Framework вот код

$db = Zend_Db_Table_Abstract::getDefaultAdapter();

$db->quoteInto('your_query_here = ?','your_value_here');

например ;

//SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe' will become
SELECT * FROM PEOPLE WHERE SURNAME='\'O\'Keefe\''

Найдено в 30-х годах прошлого века в Google...

Oracle SQL чаво