如何将包含双引号的字符串添加到sql数据库中?
我想使用JDBC向我的sql数据库添加一个字符串。但问题是,每当字符串包含双引号时,就会完全不同地解释sql命令,并抛出“您在SQL语法中有错误;检查与您的MySQL服务器版本对应的手册”。
例如,String =“插入到tableName值(\”+ string +“\”);
如果字符串= "abc",则sql = INSERT tableName值("abc")
但是如果string =“ab\”cd,则sql = INSERT tableName值("ab"c")
因此,对于包含双引号的字符串,sql命令的解释完全不同。
如何将这样的字符串添加到数据库中。
PS。我不能把双份报价改为单份报价。还可以有其他黑客来添加这样的字符串,但我想知道是否真的没有这样的方式直接添加这样的字符串。
回答 5
Stack Overflow用户
发布于 2014-07-12 14:09:57
我试图通过转义双引号来添加字符串,但这没有效果。添加字符串的唯一方法是使用PreparedStatement而不是语句类。
String string = "abc\"abc";
String sql = "INSERT INTO tableName VALUES(?)";
connection = DriverManager.getConnection(DB_URL, USER, PASS);
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, string);
preparedStatement.executeUpdate();此代码段成功地将包含双引号的字符串添加到数据库中。
Stack Overflow用户
发布于 2014-07-11 12:52:50
您需要转义字符串值,以便在查询中生成字符串文本。
在使用引号分隔字符串时:
- 字符串中的反斜杠(
\)应替换为两个反斜杠。 - 字符串中的引号(
")应替换为反斜杠和引号。
如果要使用撇号(')来分隔字符串(在SQL中更为常见),则可以转义撇号而不是引号。
如果可能,您应该使用参数化查询,而不是将值连接到查询中。
Stack Overflow用户
发布于 2014-07-11 12:52:02
您正在经历良性的SQL注入。幸运的是,string不是小鲍比桌。
相反,您应该使用像INSERT INTO tableName VALUES (?)这样的参数化查询,并通过参数发送string的值。
有关详细信息,请参阅http://docs.oracle.com/javase/tutorial/jdbc/basics/prepared.html的JDBC文档。
现在,要回答这个问题:假设字符串不是来自用户源,而是尝试自己编写查询,那么在连接之前,可以将字符串中的"替换为\"。
https://stackoverflow.com/questions/24698040
复制相似问题
腾讯云开发者
