使用prepareStatement进行模糊查询时的单引号问题

最新推荐文章于 2023-04-28 09:17:31 发布
最新推荐文章于 2023-04-28 09:17:31 发布
阅读量2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: JDBC 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_14438/article/details/82636728
本文介绍了在Java数据库操作中,使用executeQuery进行模糊查询时需要手动转义单引号,而使用prepareStatement或JdbcTemplate进行查询时,由于内置的SQL注入防护,可以避免手动转义,简化了代码并提高了安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写道
■Statement#executeQueryを使う場合

  ⇒ SQLに埋め込むので、シングルクォートのエスケープが必須

    入力=[']
    変換=[%''%]


■Connection#prepareStatement を使う場合
■JdbcTemplate#queryForList を使う場合

  ⇒ 基本的にSQLインジェクション対策がされているので、
    シングルクォートのエスケープをしてはいけない

    入力=[']
    変換=[%'%]

如果使用executeQuery进行查询

     需要在SQL文中对单引号进行转义

如果使用Connection#prepareStatement或

最低0.47元/天 解锁文章

200万优质内容无限畅学
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
关于jdbc中处理sql语句的引号问题笔记
mitsuhaqq的博客
04-22 1710
今天在学习jdbc的候,发现java中定义的sql语句有候会有些引号上的问题 所以进行研究。 package com.nd.jdbc; import java.sql.*; import java.util.Scanner; public class biji { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null;
hibernate 模糊查询中查询条件包含单引号问题
wangts的专栏
08-06 2529
使用hibernate进行模糊查询,比如 colname like %keyword%,如果keyword包含单引号,很明显有语法错误,但进行转义后执行仍然是错误的。通过Google,baidu终于查到把一个但引号替换成两个单引号就可以正常运行: colname like %its a dog%  改成 colname like %its a dog%  ,
PreparedStatement 单引号
qq_45178972的博客
10-03 1373
String sql=“insert into filedata(filename,path) values(’ “+file.getName()+” ',?)”; insert字符两边要加单引号‘’
Statement 进行sql操作的候,如果出现了字符中出现英文的单引号,怎么替换
吃素的哈士奇de博客
10-09 527
在拼接sql的候出现问题,我链接的中文字符里面出现了英文的单引号" ’ ",那么,正常拼接的sql就会出问题,怎么避免这个问题呢。,但是sql肯定是有问题的,无法执行。讲原本的一个单引号换成两个单引号即可!
Java在mysql中插入含有单引号的内容报错
weixin_34341117的博客
09-24 1782
2019独角兽企业重金招聘Python工程师标准>>> ...
JDBC
weixin_30484739的博客
07-25 111
1、准备工作 引入驱动包 构建路径 build path 测试用户是否正确登录2、建立连接1)、连接字符串驱动: oracle.jdbc.driver.OracleDriverurl: jdbc:oracle:thin:@db服务器地址:端口:实例 连接urljdbc:oracle:thin:@localhost:1521:orcl用户名与密码: scott tiger2)、编写测试类加...
prepareStatement出现模糊查询问题总结
疯狂的芒果
07-13 4065
prepareStatement这个在非模糊查询还正常, 案例1:  类似与 select ... where info like '%?%' 这里的问号是不被看作是占位符的,所以当set的候会报错java.sql.SQLException: Parameter index out of range
JDBC 的sql语句每个字段左右两边必须有‘单引号‘包裹
qq_27494201的博客
04-28 218
JDBC 的sql语句每个字段左右两边必须有‘单引号’包裹。
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 892
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
mysql的prepareStatement执行sql可以掉特殊字符'或/
weixin_43237703的博客
04-02 610
废话不多说,直接上demo 附带了sql拼接的sqlBuffer.deleteCharAt API import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; public class InsertMorePreparedStatement { // My...
JDBC PreparedStatement 的 setString 传值中文识别为??
qq_32218473的博客
05-08 3601
解决办法:数据库mather后的?characterEncoding=UTF-8将编码设为utf-8例如:
PreparedStatement 和Statement用法区别,加和不加转义字符
hlxstc_xly的专栏
09-11 1315
String hidden = request.getParameter("action"); if(hidden != null && hidden.trim().equals("post")) { String userId = request.getParameter("userId") ; String userName = request.getParameter("userNam
java jdbc 参数 转义_在JDBC PreparedStatement参数中转义两个单引号
weixin_39977934的博客
02-28 863
我试图在Oracle 10g数据库表中插入值。我想为列插入值,名字并且值有两个像这样的单引号: O'Rielly's Edition。在JDBC PreparedStatement参数中转义两个单引号我正在使用JDBC的准备语句传递参数值名字。它用单引号(O'Rielly)正常工作。但是,当我使用两个单引号它给SQL错误ORA-00907: missing right parenthesis。有关...
mysql查询所有表中的一个字段的数据
最新发布
08-02
我们可以使用类似引用[1]中的查询,但需要根据用户的具体字段进行调整。 2. 然后,对于每一个找到的表和列,我们生成一个SELECT语句来查询该列的数据。 注意:由于字段名可能不完全相同(如用户可能想查询包含...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值