使用prepareStatement进行模糊查询时的单引号问题

最新推荐文章于 2023-04-28 09:17:31 发布
原创 最新推荐文章于 2023-04-28 09:17:31 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #java

本文介绍了在Java数据库操作中,使用executeQuery进行模糊查询时需要手动转义单引号,而使用prepareStatement或JdbcTemplate进行查询时,由于内置的SQL注入防护,可以避免手动转义,简化了代码并提高了安全性。
写道
■Statement#executeQueryを使う場合

  ⇒ SQLに埋め込むので、シングルクォートのエスケープが必須

    入力=[']
    変換=[%''%]


■Connection#prepareStatement を使う場合
■JdbcTemplate#queryForList を使う場合

  ⇒ 基本的にSQLインジェクション対策がされているので、
    シングルクォートのエスケープをしてはいけない

    入力=[']
    変換=[%'%]

如果使用executeQuery进行查询

     需要在SQL文中对单引号进行转义

如果使用Connection#prepareStatement或

最低0.47元/天 解锁文章
Java数据库学习之模糊查询(like )
m0_70960708的博客
10-04 294
第二种方式: 使用占位符,在占位符赋值进行拼接。
hibernate 模糊查询中查询条件包含单引号问题
wangts的专栏
08-06 2543
使用hibernate进行模糊查询,比如 colname like %keyword%,如果keyword包含单引号,很明显有语法错误,但进行转义后执行仍然是错误的。通过Google,baidu终于查到把一个但引号替换成两个单引号就可以正常运行: colname like %its a dog%  改成 colname like %its a dog%  ,
PreparedStatement 单引号
qq_45178972的博客
10-03 1385
String sql=“insert into filedata(filename,path) values(’ “+file.getName()+” ',?)”; insert字符两边要加单引号‘’
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
Statement 进行sql操作的候,如果出现了字符中出现英文的单引号,怎么替换
吃素的哈士奇de博客
10-09 541
在拼接sql的候出现问题,我链接的中文字符里面出现了英文的单引号" ’ ",那么,正常拼接的sql就会出问题,怎么避免这个问题呢。,但是sql肯定是有问题的,无法执行。讲原本的一个单引号换成两个单引号即可!
Java在mysql中插入含有单引号的内容报错
weixin_34341117的博客
09-24 1794
2019独角兽企业重金招聘Python工程师标准>>> ...
使用占位符进行like模糊查询遇到变量该怎么写sql
05-28 1735
使用预编译对象编写sql语句,如果需要模糊查询,则很容易出现由于单双引号不合适导致的异常,遇到模糊查询字符串匹配sql语句,这应该怎么嵌套变量呢,如下: String sql = "select * from goods where name like ?"; ps = connection.prepareStatement(sql); ps.setString(1, "%匹配内容%"); 上面的代码是查询goods表中name值包含字符串“匹配内容”的记录。 当然,要模糊搜索的值可以换成变量代替,代
java中实现mysql数据库中条件查询条件String类型报错
最新发布
10-31
Java中对MySQL数据库进行条件查询,如果查询条件是String类型出现报错,常见原因包括:字符串中的特殊字符(如单引号、反斜线)未转义导致SQL语法错误、SQL注入风险未被处理、JDBC驱动兼容性问题或数据类型不...
JDBC
weixin_30484739的博客
07-25 118
1、准备工作 引入驱动包 构建路径 build path 测试用户是否正确登录2、建立连接1)、连接字符串驱动: oracle.jdbc.driver.OracleDriverurl: jdbc:oracle:thin:@db服务器地址:端口:实例 连接urljdbc:oracle:thin:@localhost:1521:orcl用户名与密码: scott tiger2)、编写测试类加...
prepareStatement出现模糊查询问题总结
疯狂的芒果
07-13 4125
prepareStatement这个在非模糊查询还正常, 案例1:  类似与 select ... where info like '%?%' 这里的问号是不被看作是占位符的,所以当set的候会报错java.sql.SQLException: Parameter index out of range
JDBC 的sql语句每个字段左右两边必须有‘单引号‘包裹
qq_27494201的博客
04-28 233
JDBC 的sql语句每个字段左右两边必须有‘单引号’包裹。
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 907
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
关于jdbc中处理sql语句的引号问题笔记
mitsuhaqq的博客
04-22 1737
今天在学习jdbc的候,发现java中定义的sql语句有候会有些引号上的问题 所以进行研究。 package com.nd.jdbc; import java.sql.*; import java.util.Scanner; public class biji { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null;
mysql的prepareStatement执行sql可以掉特殊字符'或/
weixin_43237703的博客
04-02 628
废话不多说,直接上demo 附带了sql拼接的sqlBuffer.deleteCharAt API import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; public class InsertMorePreparedStatement { // My...
JDBC PreparedStatement 的 setString 传值中文识别为??
qq_32218473的博客
05-08 3613
解决办法:数据库mather后的?characterEncoding=UTF-8将编码设为utf-8例如:
PreparedStatement 和Statement用法区别,加和不加转义字符
hlxstc_xly的专栏
09-11 1368
String hidden = request.getParameter("action"); if(hidden != null && hidden.trim().equals("post")) { String userId = request.getParameter("userId") ; String userName = request.getParameter("userNam
java jdbc 参数 转义_在JDBC PreparedStatement参数中转义两个单引号
weixin_39977934的博客
02-28 879
我试图在Oracle 10g数据库表中插入值。我想为列插入值,名字并且值有两个像这样的单引号: O'Rielly's Edition。在JDBC PreparedStatement参数中转义两个单引号我正在使用JDBC的准备语句传递参数值名字。它用单引号(O'Rielly)正常工作。但是,当我使用两个单引号它给SQL错误ORA-00907: missing right parenthesis。有关...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值