【问题标题】:Inserting an SQL query string into an SQL table将 SQL 查询字符串插入 SQL 表
【发布时间】:2015-12-17 09:08:54
【问题描述】:

我想在我的数据库中插入一个 SQL 查询字符串,但由于单引号 '',我总是收到错误消息。我不能把它们加倍'''',因为那样我就不能执行存储在 SQL 数据库中的 SQL 查询。这是一个例子:

"INSERT INTO selections(selection_name, selection_sql, selection_besitzer, selection_sichtbarkeit, selection_standardSelektion)"
            + "VALUES ('"
            + "TestName"+"', '"
            + "Select * From customer where customer_adressnummer like '%1%';"+"', '"
            + "Select all from customer where X"+"', '"
            + "private"+"', '"
            + "0"+"')");

我的问题是:如何在不更改字符串的情况下将此查询插入到我的 SQL 数据库中?

插入后,我想用我的程序读取它,然后根据我数据库中的字符串执行查询。

这是错误信息:

com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: 'Select * From customer where customer_adressnummer like '
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3374)
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:3308)
    at com.mysql.jdbc.MysqlIO.sendCommand(MysqlIO.java:1837)
    at com.mysql.jdbc.MysqlIO.sqlQueryDirect(MysqlIO.java:1961)
    at com.mysql.jdbc.ConnectionImpl.execSQL(ConnectionImpl.java:2543)
    at com.mysql.jdbc.PreparedStatement.executeInternal(PreparedStatement.java:1737)
    at com.mysql.jdbc.PreparedStatement.executeUpdate(PreparedStatement.java:2022)
    at com.mysql.jdbc.PreparedStatement.executeUpdate(PreparedStatement.java:1940)
    at com.mysql.jdbc.PreparedStatement.executeUpdate(PreparedStatement.java:1925)
    at toolhouseserver.ExecutionThread.run(ExecutionThread.java:114)
    at java.lang.Thread.run(Thread.java:745)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at java.lang.Thread.run(Thread.java:745)

【问题讨论】:

  • 您为什么要尝试将这些字符串插入到类型为 double 的列中(正如异常明确表示的那样)?
  • 我不知道为什么会出现这个错误。我表中的列是 varchar(500)。错误是因为'%1%'。
  • 尝试在您插入的查询中转义撇号:+ "Select * From customer where customer_adressnummer like \'%1%\';"+"', '"
  • 你能告诉我在插入之前我如何在 Java 中做到这一点(检查字符串中的 '' 并添加 \ insert 并在 Select 上删除它们吗? \ insertet 是否进入数据库?
  • 使用准备好的语句,或者转义单引号;对于大多数数据库,这是通过将单引号加倍来完成的。

标签: mysql sql jdbc


【解决方案1】:

毫不奇怪,在尝试使用动态 SQL 将 SQL 字符串插入 SQL 数据库时,遇到 SQL 注入问题的概率相当高。省去烦恼,只需使用参数化查询,如下所示:

PreparedStatement ps = conn.prepareStatement(
        "INSERT INTO selections (selection_name, selection_sql, selection_besitzer, selection_sichtbarkeit, selection_standardSelektion) " +
        "VALUES (?,?,?,?,?)");
ps.setString(1, "TestName");
ps.setString(2, "Select * From customer where customer_adressnummer like '%1%';");
ps.setString(3, "Select all from customer where X");
ps.setString(4, "private");
ps.setString(5, "0");
ps.executeUpdate();

【讨论】:

  • 你能解释一下我如何在客户端/服务器环境中使用它吗?
  • 上面的 Java 代码将是在客户端上运行的应用程序的一部分。 Connection 对象conn 将通过在 JDBC 连接 URL 中指定服务器详细信息(名称或 IP、端口等)来连接到数据库服务器。一个简单的网络搜索应该会为您提供很多很多示例。
  • 不,我不是这个意思。我知道这个。目前我有这个:客户端连接到我自己的软件服务器,然后连接到数据库服务器。优点是,我的客户对数据库一无所知,我可以从局域网外部访问数据库而不会出现不安全问题,有人可以向我的数据库发送一些 sql 命令。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2013-06-22
  • 1970-01-01
  • 1970-01-01
  • 2013-12-25
  • 2018-11-09
  • 1970-01-01
相关资源
最近更新 更多