java用字符串拼接SQL语句的特殊字符转义问题

最新推荐文章于 2023-08-30 14:47:00 发布
最新推荐文章于 2023-08-30 14:47:00 发布
阅读量2w 收藏 12
点赞数 4
分类专栏: 数据库 文章标签: 拼接sql语句中的特殊字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aitangyong/article/details/42749213
版权

在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和',就需要进行转义,因为这3个字符是SQL的特殊字符,如果不处理会导致sql出错或者是查询数据不正确。

 

假如有这样1个查询请求,模糊查询标题中包含a%b_cc'd的记录,正确的sql应该是下面这样的:

select * from t_sch_work_info t where  t.title like  '%a/%b/_cc''d%' ESCAPE '/';
 

这就需要对String content = "a%b_cc'd";进行转义后,再拼成SQL语句。oracle数据库允许我们使用自己定义的字符作为转义字符。看了下我们项目DAO层的编码风格,使用到了2种转义字符 \  和  /  。定位问题的时候发现,有人拼接SQL语句出错。自己用这2种字符,写了2个公用方法,经过测试是正确的。

/**
     * 
     * 对content的内容进行转换后,在作为oracle查询的条件字段值。使用/作为oracle的转义字符,比较合适。<br>
     * 既能达到效果,而且java代码相对容易理解,建议这种使用方式<br>
     * "%'" + content + "'%  ESCAPE '/' "这种拼接sql看起来也容易理解<br>
     * 
     * @param content
     * @return
     */
    public static String decodeSpecialCharsWhenLikeUseBackslash(String content)
    {
        // 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号
        String afterDecode = content.replaceAll("'", "''");
        // 由于使用了/作为ESCAPE的转义特殊字符,所以需要对该字符进行转义
        // 这里的作用是将"a/a"转成"a//a"
        afterDecode = afterDecode.replaceAll("/", "//");
        // 使用转义字符 /,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配
        afterDecode = afterDecode.replaceAll("%", "/%");
        // 使用转义字符 /,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配
        afterDecode = afterDecode.replaceAll("_", "/_");
        return afterDecode;
    }

 /**
     * 对content的内容进行转换后,在作为oracle查询的条件字段值。使用\作为oracle的转义字符。<br>
     * 这种做法也能达到目的,但不是好的做法,比较容易出错,而且代码很那看懂。<br>
     * "%'" + content + "'%  ESCAPE '\' "这种拼接sql实际上是错误的.<br>
     * "%'" + content + "'%  ESCAPE '\\' "这种拼接sql才是正确的<br>
     * 
     * @param content
     * @return
     */
    public static String decodeSpecialCharsWhenLikeUseSlash(String content)
    {
        // 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号
        String afterDecode = content.replaceAll("'", "''");
        // 由于使用了\作为ESCAPE的转义特殊字符,所以需要对该字符进行转义
        // 由于\在java和正则表达式中都是特殊字符,需要进行特殊处理
        // 这里的作用是将"a\a"转成"a\\a"
        afterDecode = afterDecode.replaceAll("\\\\", "\\\\\\\\");
        // 使用转义字符 \,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配
        afterDecode = afterDecode.replaceAll("%", "\\\\%");
        // 使用转义字符 \,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配
        afterDecode = afterDecode.replaceAll("_", "\\\\_");
        return afterDecode;
    }


对比上面的代码,很容易看出使用/,代码更简单,更容易理解。之所以写这个博客,不是推荐大家去手动拼接SQL字符串,因为这种做法效率很低,而且很容易出错。实际开发中,我们应该使用JDBC或者hibernate等框架,提供的预编译SQL。使用预编译语句不仅让代码可读性更好,而且还会有性能优势。可以参考这篇文章:

HQL或SQL使用?带来的好处:减少SQL解析时间、降低内存开销、防止SQL注入






aitangyong
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql替换表的字符串的sql语句
12-15
mysql替换字段里数据内容部分字符串 mysql替换表的字段里面内容,如例子: mysql> select host,user from user where user=’testuser’; +———————–+———-+ | host | user | +———————–+——...
sqlserver遍历字符串的sql语句
12-15
代码如下: declare @ddd varchar(50),@split varchar(1) set @ddd = ‘12345678,1234567890,1234567890,123456,123456789’ set @split = ‘,’ while(charindex(@split,@ddd)<>0) begin select substring(@ddd,1...
java插入数据库字符串拼接_javaPreparedStatement解决需转义字符向数据库插入时的转义问题 | 学步园...
weixin_39595271的博客
03-02 545
简单的执行如下语句去做数据库的插入操作是有问题的!它处理不了单引号,双引号等需要转义的字符的插入问题!String sql = "insert into emailOriginal(id,date,subject,source,target" +") value(\""+ vo.getId() + "\",\""+ vo.getDate()+"\",\""+ vo.getSubject()+"\"...
神级Java进阶笔记!java实例对象
m0_56146626的博客
07-19 127
第一部分 项目+自我介绍 首先上来简单做一下自我介绍? 然后让介绍简历里的项目,说下项目里的难点,技术架构。 平时开发过程都遇到过哪些难题? 平时都这么和同事沟通? 第二部分 java基础方面 首先还是老生常谈的hashmap。hashmap的set和get的时间复杂度是多少?为什么是O(1), hashmap 在jdk1.8是线程安全的吗? 为什么是线程安全的?concureenthashmap了解吗?他是如何实现线程安全的? 说说java泛型,为什么称java泛型为伪泛
javasql 语句格式转换_SQL 语句转换格式函数Cast、Convert
weixin_39567013的博客
02-27 399
CAST和CONVERT都经常被使用。特别提取出来作为一篇文章,方便查找。CAST、CONVERT都可以执行数据类型转换。在大部分情况下,两者执行同样的功能,不同的是CONVERT还提供一些特别的日期格式转换,而CAST没有这个功能。既然CONVERT包括了CAST的所有功能,而且CONVERT还能进行日期转换,那么为什么需要使用CAST呢?实际上,这是为了ANSI/ISO兼容。CAST是ANSI...
防止SQL注入攻击的注意事项
happycell188的博客
04-15 698
防止SQL注入攻击的注意事项 一. SQL Injection及其防范的基本知识可能大家都知道,SQL注入主要是利用字符型参数输入的检查漏洞。比如说,程序有这样的查询: string sql = "SELECT * FROM SiteUsers WHERE UserName=" + userName + "";其的userName参数是从用户界面上输入的。如果是正常的输入,
java处理sql注入方法——sql转义
xzw_123的专栏
01-13 8696
昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。 网上现有方法: 1、preparestatement 由于每次执行都需要prepare,所以不推荐使用 2、一个单引号变成两个replace("'","''")其他的字符串替代方法有着局限性,就不列举了。 我最开始使用的是2方法,但是还是有方法可以破解。 后来参考php的addslashes函数,写了一个java的e
SQL 语句特殊字符的处理及预防sql 注射
ahshow的专栏
08-28 1166
SQL 语句特殊字符的处理及预防sql 注射 转自宋国安的blog(C#3.0专题)在sql语句,有些特殊字符,是sql保留的。比如 [ ]  等。我们可以先看看它们的用法。当需要查询某数据时,加入条件语句,或着当你需要insert记录时,我们用    来将字符类型的数据引起来。比如:Select * from Customers where City = London当
使用mybatis时编写sql,解决sql特殊字符问题
qq_40450926的博客
12-16 439
1,第一个方法使用转义: > &gt; < &lt; 2,第二种写法: <![CDATA[ <> ]]> 输出的就是 <>
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
SQL Server把某个字段的数据用一条语句转换成字符串
09-10
主要介绍了SQL Server把某个字段的数据用一条语句转换成字符串,本文讲解使用一条语句把字段的数据查询出来并以指定分割符组成字符串,需要的朋友可以参考下
把字符串转换成数据库SQL语句格式
01-02
代码如下:‘把字符串转换成数据库SQL语句格式 ‘————————————————- Function AllStr2Database(str,strType) Dim strTemp:strTemp=str Select Case strType Case “” Case “num” strTemp =...
遇到拼接SQL 模糊查询 用户输入特殊符号出现的错误
zwj2613905的专栏
10-25 1008
网上找了段代码 过滤掉用户输入的内容  public class Constant          {         public static string ReplaceSqlLike(string strQuery)         {             string strRet = strQuery;             strRet = strRet.Rep
jdbcSQL语句拼接java变量,format用法
a770115126的博客
02-15 1150
jdbcSQL语句拼接java变量
执行拼接SQL的java书写方式
最新发布
qq_39889242的博客
08-30 1279
项目上遇到一个功能需要对用户输入的数据表进行各种操作,这个时候需要自己拼接SQL然后执行。直接用字符串自己拼接,这种方法要特别注意前后空格。使用org.apache.ibatis.jdbc.SQL进行拼接。放入mapper.xml用${sqlText}进行执行。使用mabtis的注解@SelectProvider等进行执行。
JAVA里面的转义字符以及SQL语句的转移
weixin_30369041的博客
03-06 515
今天的工作遇到了关于JAVA方面的转义的知识,我总结了一些: \n 回车\t 水平制表符\b 空格\r 换行\f 换页\' 单引号\" 双引号\\ 反斜杠 斜杠还是\\ddd 三位八进制\? 四位十六进制 今天在写一条查询的SQL语句的时候遇到了查询条件含有_的情况,通过上网查找资料使用的ESCAPE关键字 ,这个关键字的主要作用是匹配sql语句里面的下划线。 select gid,...
insert 语句特殊字符
weixin_30462049的博客
03-04 878
如果插入数据库的字符串还有单引号,需要转义处理,如插入“It'satree.”,SQL语句如下:INSERTINTOTESTTAB(FIELD1)VALUES('It''sadog.') 如果SQL有“&”,那么后面的字符串将被作为一个变量来处理,无法正常插入数据库。如果的确需要把&字符插入数据库,如下处理: INSERTINTO...
IBatis的使用
weixin_47084857的博客
06-25 1442
IBatis的使用 1、IBatis是什么 回顾之前前端访问后端的整个流程: View ------ >Controller --------> Service ---------> DAO ------> 数据库 View :前端jsp/HTML Controller:Servlet/SpringMVC Service :Spring DAO:jdbc/dbutils/jdbctemplate/mybatis mybatis实际上就是 DAO层的一
sql语句字符串拼接
08-13
在 SQL ,可以使用字符串拼接函数来构建动态的 SQL 语句。具体的方法取决于你所使用的数据库管理系统。以下是一些常见数据库系统实现字符串拼接的方法示例: 1. MySQL 和 MariaDB: 使用 CONCAT 函数进行字符串拼接,例如: ```sql SET @sql = CONCAT('SELECT * FROM ', table_name); PREPARE stmt FROM @sql; EXECUTE stmt; ``` 2. PostgreSQL: 使用 || 运算符进行字符串拼接,例如: ```sql EXECUTE 'SELECT * FROM ' || table_name; ``` 3. Oracle: 使用 CONCAT 函数或 || 运算符进行字符串拼接,例如: ```sql EXECUTE 'SELECT * FROM ' || table_name; ``` 4. SQL Server: 使用 + 运算符进行字符串拼接,例如: ```sql EXECUTE ('SELECT * FROM ' + @table_name); ``` 请注意,在构建动态 SQL 语句时,务必注意防止 SQL 注入攻击,确保通过参数化查询或其他安全措施来处理用户输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值