我正在构建一个插入命令以使用 jdbc 执行。其中一部分是连接用户生成的字符串......这一切都有效,直到用户使用这样的字符串:
a'bcd
String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
+ "(insertColumn) "
+ "VALUES("
+"'"+userString+"'"
+")";
statement.executeUpdate(insertTableSQL);
【问题讨论】:
您可以使用Apache Commons Lang 库中的StringEscapeUtils。
使用它,您可以转义 html、xml、sql 等中的字符。根据您的目的查找方法 escapeXXX。供参考:When i need to escape Html string?
注意:escapeSql 已在 Apache Commons Lang 3 中删除(请参阅引用 https://commons.apache.org/proper/commons-lang/article3_0.html#StringEscapeUtils.escapeSql 的 Migrating StringEscapeUtils.escapeSql from commons.lang)
例如:
String str = FileUtils.readFileToString(new File("input.txt"));
String results = StringEscapeUtils.escapeHtml(str);
System.out.println(results);
输入:
<sometext>
Here is some "Text" that I'd like to be "escaped" for HTML
& here is some Swedish: Tack. Vars?god.
</sometext>
输出:
<sometext>
Here is some "Text" that I'd like to be "escaped" for HTML
& here is some Swedish: Tack. Varsågod.
</sometext>
【讨论】:
您可以执行以下任一操作:
使用 PreparedStatement 类。 (推荐)
String userString="a'bcd";
String myStatement = " INSERT INTO MYTABLE (INSERTCOLUMN) VALUES (?)";
PreparedStatement statement= con.prepareStatement (myStatement );
statement.setString(1,userString);
statement.executeUpdate();
转义单引号。
在 SQL 中,单引号将通过使用双单引号进行转义。 ' --> ''
String userString="a'bcd";
String changedUserString = userString.replace("'","''");
//changedUserString = a''bcd
String insertTableSQL = "INSERT INTO myTable (insertColumn) VALUES("
+" '"+changedUserString +"' )";
【讨论】:
这是另一个选择:
使用专门为此目的设计的原生 Android 方法:
DatabaseUtils.sqlEscapeString(String)
这是它的在线文档:
在我看来,使用这种方法的主要优点是由于方法名称清晰,所以可以自行编写文档。
String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
+ "(insertColumn) "
+ "VALUES("
+"'"+DatabaseUtils.sqlEscapeString(userString)+"'"
+")";
statement.executeUpdate(insertTableSQL);
【讨论】: