java中PreparedStatement解决需转义字符向数据库中插入时的转义问题

最新推荐文章于 2023-06-02 18:30:55 发布
最新推荐文章于 2023-06-02 18:30:55 发布
阅读量8.7k 收藏
点赞数
分类专栏: java开发 数据库 文章标签: 数据库 java sql date insert exception
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waleking/article/details/6934231
版权

简单的执行如下语句去做数据库的插入操作是有问题的!它处理不了单引号,双引号等需要转义的字符的插入问题!


String sql = "insert into emailOriginal(id,date,subject,source,target" +
") value(\""
+ vo.getId() + "\",\"" 
+ vo.getDate()+"\",\"" 
+ vo.getSubject()+"\",\""
+ vo.getSource()+"\",\""
+ vo.getTarget()+"\");";

               。。。

pstmt = dbc.getConnection().prepareStatement(sql);

。。

pstmt.execute(sql);

会有如下错误:

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: 

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'notional" stuff

经过查找发现是插入“nation”时,双引号没有经过转义!


现在修改成使用PreparedStatement,用?预处理查询条件,会避免上述简单的字符串拼接造成的转义问题。


		String sql = "insert into emailOriginal(id,date,subject,source,target" +
					") value(?,?,?,?,?);";
		
		
		PreparedStatement pstmt = null;
		try {
			pstmt = dbc.getConnection().prepareStatement(sql);
			pstmt.setString(1, vo.getId());
			pstmt.setString(2, vo.getDate());
			pstmt.setString(3, vo.getSubject());
			pstmt.setString(4, vo.getSource());
			pstmt.setString(5, vo.getTarget());
			pstmt.execute();
			//pstmt.execute(sql);
			pstmt.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
其中的 
pstmt.setString(1, vo.getId());
会帮助字符串转义。

可以插入如下的记录了:
+------+------+--------+--------+----------+
| id   | date | source | target | subject  |
+------+------+--------+--------+----------+
| id   | date | source | target | "subject |
| id   | date | source | target | 'subject |
+------+------+--------+--------+----------+
Waleking
关注
专栏目录
PreparedStatement对象详解(优于Statement
weixin_45746783的博客
10-09 396
PreparedStatement可以防止SQL注入,比Statement效率更好! PreparedStatement防止SQL注入的本质,把传递进来的参数当作字符,假设其存在转义字符,比如说' '会被直接转义SQL注入的概念可百度查询,注入关键语句:" ' ' or 1=1"(值为空或者1=1为true); preparedStatementStatement的区别: Statement先写好sql语句,然后执行;preparedStatement预编译SQL,先写sql,然后不执...
mysql jdbc url 转义_jdbc preparedstatement 自动转义问题
weixin_29861235的博客
01-19 442
目前正在做一套框架,求如下,prepaerdstatement.setString 里面可以是一段sql语句代码如下:这一段代码是由框架自动完成好的,然后目的是将这个注入到sql,但是 prepaerdstatement 自动在整个外围添加2个单引号,所以就不能执行,因为该框架式在mybtis3的基础上进行封装的,就是要pstmt.setString(' and 1=1 and 2=2 ...
java插入数据库字符串拼接_javaPreparedStatement解决转义字符数据库插入转义问题 | 学步园...
weixin_39595271的博客
03-02 581
简单的执行如下语句去做数据库插入操作是有问题的!它处理不了单引号,双引号等转义的字符的插入问题!String sql = "insert into emailOriginal(id,date,subject,source,target" +") value(\""+ vo.getId() + "\",\""+ vo.getDate()+"\",\""+ vo.getSubject()+"\"...
java将文本读取写入数据库
weixin_42740540的博客
09-12 5945
核心思想: 1.找到要读取的文件。 2.通过文件流按行读取,因为一行是一条记录,按照文件的分割字符方式进行拆分数组。 3.遍历文本的行,每一行存数组。遍历数组,数据库字段对应数组下标进行插入。 代码示例 public class ShjkTest { public static void main(String[] args) { File file = new File("F:...
Javaweb】后台的字符串转义,入库之前记得先对字符串转义防止sql注入问题
编程记录,亲测有效
03-28 3455
在《【JavaScript】某些字符不转义可以导致网页崩溃与涉及转义字符的显示方法》(点击打开链接)提及到一种表单之前,必须把表单的输入框的内容转义的方法,但是,其实这种字符串的转义更加应该放在后台进行。这样同能够有效地防止sql注入的问题。 所谓的sql注入是什么呢?比如,你做了一个登录功能什么的。你必须把根据用户输入的用户名,查询存放在数据库的密码的,然后与密码比对是不是? selec
java后台对前端输入的特殊字符进行转义
jt137633857的专栏
09-08 1215
public static void html(){ String str = "baidu"; /** * Spring的HtmlUtils进行转义 */ //<a href='http://www.baidu.com'>baidu</a><script> System.out.printl
Java----工具类】字符串转义与反转义
热门推荐
Sunny
05-27 1万+
apache工具包common-lang有一个很有用的处理字符串的工具类,其之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,Java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提引入对应的jar包,以下为它的部分...
数据库查询遭遇特殊字符导致问题解决方法
09-14
数据库查询,特殊字符可能会引发一系列问题,尤其是当这些字符出现在SQL语句的字符串值内。特殊字符可能导致语法错误、安全漏洞(如SQL注入)或数据处理异常。本文将详细探讨这些问题及其解决方案,以ASP为例...
插入数据库之前将特殊字符转义
05-29
这篇博客“插入数据库之前将特殊字符转义”深入探讨了这个关键话题。 SQL注入是一种常见的网络攻击方式,攻击者通过输入包含恶意SQL代码的字符串,欺骗数据库执行非预期的操作。例如,如果用户输入未经过滤的“' OR...
基于sqlite特殊字符转义的实现方法
09-10
在实际应用,当我们构建SQL查询语句,比如`SELECT * FROM table WHERE number LIKE '%/%%' ESCAPE '/'`,`LIKE`操作符后面的`'%/%%'`就是一个已经转义过的字符串,其`%`被转义为`/%`,并且使用`ESCAPE '/'`来...
特殊字符上传数据库转义处理java代码
05-27
Java,特殊字符上传数据库要进行转义处理,可以使用`PreparedStatement`来自动转义字符串。示例代码如下: ```java String inputString = "This is a string with 'special' characters"; PreparedStatement ...
kindeditor数据特殊字符转义处理上传数据库与前端回显的前后端与数据库代码,jsp页面,数据库mysql
05-27
1. 使用JavaScript的encodeURIComponent()函数将特殊字符转义,将编辑器的内容传递给后端: ```javascript var content = encodeURIComponent(editor.html()); // editor为KindEditor实例 ``` 2. 将转义后的...
为什么我们不能手动转义一下用户输入的%,其他的再交给PreparedStatement转义
程宇寒
12-27 792
我们都知道在JDBC,PreparedStatement可以防止sql注入,不知道大家有没有想过一个问题呢?当我们在界面上查询的候,界面上如果用户输入了%百分号,会不会导致我们的sql语句在模糊like查询的候出现问题呢? 这里我自己有个小疑问?为什么我们不能手动转义一下用户输入的%,其他的再交给PreparedStatement转义?大家可以写程序测试下?欢迎大家一起讨论和交流!
JDBC语句单引号与双引号的作用
weixin_42395998的博客
01-10 560
当处理JDBC登录案例候遇到的问题 问题:判断键盘传入的用户名和密码是否存在 字符串拼接sql语句的方式,当使用java数据库插入数据,值为字符串(String),要用一对’‘(单引号)括起来,整型数据(int)则不用,而这种拼接的方式最主要的目的就是将单引号的值替换为变量,在sql语句被执行将解析这些变量再将其替换为要的数据,这样就比固定值更加灵活。 String sql = "insert into user(username,password,email) values('" + u
Java处理数据入库处理单引号、反斜杠问题
最新发布
南风知我意
06-02 859
Java处理数据入库处理单引号、反斜杠问题
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL
小枯林的博客
04-11 587
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值