【发布时间】:2014-12-07 12:26:20
【问题描述】:
我正在构建一个插入命令以使用 jdbc 执行。其中一部分是连接用户生成的字符串......这一切都有效,直到用户使用这样的字符串:
a'bcd
String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
+ "(insertColumn) "
+ "VALUES("
+"'"+userString+"'"
+")";
statement.executeUpdate(insertTableSQL);
【问题讨论】: