一、转义的意义

用户输入如果没有任何限制的话，则必须对特殊字符进行变换。 

如果对单引号不进行变换，轻者不能正常执行功能，重则会发生数据库错误，甚至可能导致系统崩溃。

二、需要转义的字符类型

在字符串中，某些序列具有特殊含义。这些序列均用反斜线(‘\’)开始，即所谓的转义字符。MySQL识别下面的转义序列：
\0
ASCII 0(NUL)字符。
\'
单引号(‘'’)。
\"
双引号(‘"’)。
\b
退格符。
\n
换行符。
\r
回车符。
\t
tab字符。
\Z
ASCII 26(控制（Ctrl）-Z)。该字符可以编码为‘\Z’，以允许你解决在Windows中ASCII 26代表文件结尾这一问题。(如果你试图使用mysql db_name < file_name，ASCII 26会带来问题）。
\\
反斜线(‘\’)字符。
\%
‘%’字符。参见表后面的注解。
\_
‘_’字符。参见表后面的注解。
这些序列对大小写敏感。例如，‘\b’解释为退格，但‘\B’解释为‘B’。
‘\%’和‘\_’序列用于搜索可能会解释为通配符的模式匹配环境中的‘%’和‘_’文字实例。请注意如果你在其它环境中使用‘\%’或‘\_’，它们返回字符串‘\%’和‘\_’，而不是‘%’和‘_’。
在其它转义序列中，反斜线被忽略。也就是说，转义字符解释为仿佛没有转义。
有几种方式可以在字符串中包括引号：
在字符串内用‘'’引用的‘'’可以写成‘''’。
在字符串内用‘"’引用的‘"’可以写成‘""’。
可以在引号前加转义字符(‘\’)。
在字符串内用‘"’引用的‘'’不需要特殊处理，不需要用双字符或转义。同样，在字符串内用‘'’引用的‘"’也不需要特殊处理。
下面的SELECT语句显示了引用和转义如何工作：
mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';
+-------+---------+-----------+--------+--------+
| hello | "hello" | ""hello"" | hel'lo | 'hello |
+-------+---------+-----------+--------+--------+
mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";
+-------+---------+-----------+--------+--------+
| hello | 'hello' | ''hello'' | hel"lo | "hello |
+-------+---------+-----------+--------+--------+
mysql> SELECT 'This\nIs\nFour\nLines';
+--------------------+
| This
Is
Four
Lines |
+--------------------+
mysql> SELECT 'disappearing\ backslash';
+------------------------+
| disappearing backslash |
+------------------------+
如果你想要在字符串列内插入二进制数据(例如BLOB)，必须通过转义序列表示下面的字符：
NUL
NUL字节(ASCII 0)。用‘\0’表示该字符(反斜线后面跟一个ASCII‘0’字符)。
\
反斜线(ASCII 92)。用‘\\’表示该字符。
'
单引号(ASCII 39)。用‘\'’表示该字符。
"
双引号(ASCII 34)。用‘\"’表示该字符。
当编写应用程序时，在包含这些特殊字符的字符串用于发送到MySQL服务器的SQL语句中的数据值之前，必须对它们正确进行转义。可以用两种方法来完成：
用转义特殊字符的函数处理字符串。例如，在C程序中，可以使用mysql_real_escape_string() C API函数来转义字符。参见25.2.3.52节，“mysql_real_escape_string()”。Perl DBI接口提供一个quote方法来将特殊字符转换为正确的转义序列。参见25.4节，“MySQL Perl API”。
显式转义特殊字符，许多MySQL API提供了占位符功能，允许你在查询字符串中插入特殊标记，然后当你发出查询时将数据值同它们绑定起来。在这种情况下，API关注转义值中的特殊字符。
3、具体的应用

（1）单引号 

不过回避方法却非常简单，只要将单引号[']转换成两个单引号['']就可以了。 
例：SELECT * FROM TBL WHERE COL = 'ABC''DEF'; 

（2）通配符

模糊查询的语句虽然不会发生SQL错误，但是不进行回避的话，则无法得到要检索的值。

回避方法较单引号复杂。需要使用转义符。将[%]转为[/%]、[_]转为[/_]，
然后再加上[ESCAPE '/']就可以了。 
例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_%' ESCAPE '/'; 
 最后一个%是通配符。 

（3）全角字符

如果做日文项目的话，会出现全角字符的[％]、[＿]，

而这两个全角字符同样会作为半角通配符处理。所以在变换时，同时需要将全角的[％]、[＿]进行变换。 
例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/％/＿%' ESCAPE '/'; 

（4）转义符

变换成这样似乎结束了，可是不要忘了还有转义符自身，万一用户输入转义符的话，

以上的处理就会发生SQL错误。所以也必须对转义符进行变换。变换方法就是将[/]转换为[//]。
例：SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/％///＿%' ESCAPE '/'; 

（5）字符类型

以上的操作都针对于一般的数据类型，如CHAR、VARCHAR2。

如果出现NCHAR、NVARCHAR2的话，以上的处理就会出现ORA-01425错误。
如果改成以下写法，则会发生ORA-01424错误。 
SELECT * FROM TBL WHERE COL LIKE '%/＿%' ESCAPE TO_NCHAR('/') 
正确的写法应该是 
SELECT * FROM TBL WHERE COL LIKEC '%/＿%' ESCAPE TO_NCHAR('/') 
（6）模糊查询like
最后要说明的是每个like都应该写ESCAPE语句。 
例：
SELECT * FROM TBL 
WHERE COL1 LIKE '%/＿%' ESCAPE '/' OR COL2 LIKE '%/＿%' ESCAPE '/' 
SQL> select * from test;
TEST
--------------------
sdd_kk
d'd
dfsfsa
dffa%asfs
12345
1%2345
1%54321
2%54321
%%54321
A&B
已选择9行。

（7）特殊字符

其中包含特殊的字符分别为%,_,&等等，有可能包含这些字符的数据含有错误，或者需要查找包含这些字符的数据。

SQL> select * from test where test like 'sdd _%' escape ' ';
TEST
--------------------
sdd_kk
1）转义字符为' '(空格);
SQL> select * from test where test like 'sdd/_%' escape '/';
TEST
--------------------
sdd_kk