inserir texto con comillas

Hola!

Sé que es una pregunta muy básica e igual alguno me manda a pastar y me dice que soy un aprovechado y lector de foros en vez de programador pero es que ya he probado varias cosas y sigo teniendo el mismo problema. Es cuando desde un campo input type text envio una cadena que contiene comillas y apóstrofes y es procesado por el formulario para inserirlo a la base de datos.

Lo primero que pensé es que existiria alguna función para codificar cadenas con formatos compatibles tipo urlencode. También que existiera alguna funcion similar al addslashes de php. Pero he acabado hacinedo uso de replace. En mi caso el código es c# y tengo lo siguiente:

sqlalta.Parameters.Add("@OBJECTE",SqlDbType.Text);
string obj=TBObjecte.Text.Replace(" ' "," ' ' ");
/*he puesto espacios para que se vea mejor que sustituyo una comilla por dos */
sqlalta.Parameters["@OBJECTE"].Value=obj;

Pues bien, este código al hacer insert en la base de datos (MS SQL Server)me da error cercano a ....
He probado poniendo un .ToString() a continuación del Replace(...)
También he probado sin el replace de escribir en el campo del formulario dos comillas en vez de una y entonces si que me hace el insert. También he leído por aqui que pueden crearse agujeros de seguridad si no se controlan la introducción de comillas por parte del usuario.

En fin, espero alguna orientación al respecto.
Gracias.

MM.. por lo regular en vez de reemplazar el texto de comilla simple por doble comilla mas bien se reemplaza por un espacio en blanco...

string obj=TBObjecte.Text.Replace(" ' ","");

Que tan necesario es que pongas las doble comillas..??

Saludos

Creo recordar(corriganme si me equivoco) que el hecho de que las comillas simples hicieran como de "fin" y a continuacion se procesara en la BD los comandos seguidos era el temidamente conocido como SQL INJECTION. y tambien creo recordar(por la conferencia a la que asisti hace poco de Microsoft) que poniendo en la parte superior de la página(suponiendo que es ASP.NET) lo de AutoEventWireup="true" se solucionaba este problema,aunque no estoy del todo seguro,si alguien tiene mas info del tema sera bien recibida ^_^

Bueno.. por lo que yo tengo entendido el AutoeventWireup es para ya no utilizar delegados y asociarlos al evento ya sea de la página... de algun boton... etc...

Por ejemplo... si tengo al AutoEventWireup en false haría esto:

private void Page_Load(object sender, System.EventArgs e)
{
message="blabla";
}
// Agrego un deletegado para el evento Page_Load

override protected void OnInit(EventArgs e)
{
this.Load += new System.EventHandler (this.Page_Load);
}
}

en cambio si lo tengo en true solo basta con hacer ésto:

private void Page_Load(object sender, System.EventArgs e)
{
message="blabla";
}

Ajannnnnn ese RootK siempre al pie del cañon ;D.
Pues juraria que el chico que dio la conferencia dijo que lo de la ' se solucionaba con lo que yo he dicho,es cuestion de probarlo y ver que tal,saludosss y cuidate!

Bueno... personalmente tal vez no descarte esa posibilidad SunDarK aunque tengo mis dudas... por si a alguien mas le interesa les puedo pasar el link donde lo explican un poco mas.


http://www.dotnet247.com/247referenc...m/?kbid=324151

Pero seguiremos investigando. . .

personalmente lo que hago para evitar SQL injection en mis web es reemplazar la comilla simple (') por éste caracter (`) que es muy parecido pero no interfiere en mis consultas.

El hecho de utilizar esa comilla es por los apóstrofes en catalán. Por ejemplo en catalan para decir:

El hombre

Decimos

L'home

Y ahí está el tema. Lo que pasa es que en otro formulario tengo el mismo caso y me funciona! Voy a ver si tengo la variable esta del wireup.

Saludos y gracias por vuestras intervenciones.

Hola
yo particularmente lo que hago es tener una funcion compilada en una dll que almacena funciones "utiles" tal que así:


Public Function sinCom(cadena as String) as String

cadena = replace(cadena,"'","´")
return cadena

end function


Esto reemplaza la comilla simple ' por el caracter ´(el acento)

Para utilizar la funcion, pues nada:

string obj= sinCom(TBObjecte.Text);


Salu2

Pues yo opingo que debe haber algo mucho más sencillo, tanto ASP .NET y no soluciona ese problema ocmo lo hace PHP que es simplemente poniendo un slash delante?

Tiene que haber algo, no es posible que Microsoft haya desarrollado un nuevo ASP y ese problema tenga que solucionarse con e el rústico replace.

Hola a todos. Revisando el código de la página que me funcionaba he retocado y ahora me funciona correctamente sin la necesidad de ningun replace.

De todas maneras y sin intención de abrir ningun debate aqui sobre el tema no me acabo de adaptar a esta tecnologia. Continuo prefiriendo php para resolver aplicaciones web, sobretodo con la inminente aparicion de php 5

Saludos

MM.. bueno.. es cuestion de gustos . . .,

Si, bueno, el que sabe, sabe, y el que no, PHPNuke