使用SQL生成SQL语句时单引号的转义处理之q'{}'方法

最新推荐文章于 2022-04-30 08:45:00 发布
最新推荐文章于 2022-04-30 08:45:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: Oracle
当一句话中出现多个单引号,频繁转义将非常麻烦,而且会极大的降低语句的可读性,有没有更简便的方法实现单引号的转义?答案是肯定的!

  我们可以使用q'{}'将需要转义的字符串放到两个大括号之间的方法达到目的。演示如下。

1.创建四张测试表
sec@ora10g> create table t1 (x int);

Table created.

sec@ora10g> create table t2 (x int);

Table created.

sec@ora10g> create table t3 (x int);

Table created.

sec@ora10g> create table t4 (x int);

Table created.

2.使用普通单引号转义方法实现生成表分析语句的方法如下
sec@ora10g> SET LIN 300
sec@ora10g> SET HEAD OFF
sec@ora10g> select    'EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'
  2        || ''''
  3        || OWNER
  4        || ''''
  5        || ',TABNAME=>'
  6        || ''''
  7        || TABLE_NAME
  8        || ''''
  9        || ',METHOD_OPT=>'
 10        || ''''
 11        || 'FOR ALL COLUMNS SIZE 254'
 12        || ''''
 13        || ',DEGREE=>4,CASCADE=>TRUE);'
 14   from DBA_TABLES
 15  where WNER = 'SEC';

EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T1',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T2',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T3',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T4',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);

3.使用q'{}'方法实现单引号转义
sec@ora10g> SET LIN 300
sec@ora10g> SET HEAD OFF
sec@ora10g> select    'EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'
  2        || q'{'}'
  3        || OWNER
  4        || q'{'}'
  5        || ',TABNAME=>'
  6        || q'{'}'
  7        || TABLE_NAME
  8        || q'{'}'
  9        || ',METHOD_OPT=>'
 10        || q'{'}'
 11        || 'FOR ALL COLUMNS SIZE 254'
 12        || q'{'}'
 13        || ',DEGREE=>4,CASCADE=>TRUE);'
 14   from DBA_TABLES
 15  where WNER = 'SEC';

EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T1',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T2',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T3',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);
EXECUTE DBMS_STATS.GATHER_TABLE_STATS(OWNNAME=>'SEC',TABNAME=>'T4',METHOD_OPT=>'FOR ALL COLUMNS SIZE 254',DEGREE=>4,CASCADE=>TRUE);

单引号转义成功。针对上面的例子使用q'{}'方法略显笨拙!相比普通转义方法没有太大的优势。
再看一例。

4.使用q'{}'方法简化多引号场景
以在SQL*Plus中显示字符串“I'm Secooler. I'm Andy. I'm Shengwen.”为例。
1)使用普通单引号转义方法
sec@ora10g> select 'I''m Secooler. I''m Andy. I''m Shengwen.' from dual;

I'm Secooler. I'm Andy. I'm Shengwen.

2)使用q'{}'方法转义单引号
sec@ora10g> select q'{I'm Secooler. I'm Andy. I'm Shengwen.}' from dual;

I'm Secooler. I'm Andy. I'm Shengwen.

此时q'{}'对单引号的转义方法可以保留语句的全部内容,不会对阅读字符串造成影响。这便是这种方法的真正的优势。

5.小结
  在字符串中出现少量单引号时,我们可以使用普通的转义方法处理,这样会更加高效;当字符串中出现大量的单引号时,便可以使用这种q'{}'方法来实现转义。

arenzhj
关注
专栏目录
解决python 执行sql语句所传参数含有单引号的问题
09-16
在Python编程中,当我们需要执行SQL语句,有会遇到参数中包含单引号(')的情况,这可能导致SQL语法错误。在描述的问题中,作者在尝试插入数据到`teacher`表遇到了编程错误,因为`t_info`字段的值`result2`...
SQL拼接字符串单引号转义问题 单引号转义字符
weixin_30859423的博客
12-27 2779
要拼接一个单引号到已有字符串前后, 开始以为(错误)可以用 \ 转义,如下: '\''+ str+'\'' 看颜色就知道是不行的。 正确方法是两个单引号转义单引号,如下: ''''+str+'''' 转载于:https://www.cnblogs.com/dyhao/p/10183085.html...
sql 中 ${} 和 #{}的区别
qq_34266804的博客
03-01 671
sql中对于传入参数有两种写法,刚开始学的候总是不知道是什么原因,故此写下此笔记作为解释: $将传入的数据直接显示生成sql中,那么我们使用 ${}的候 select * from user where name = ${name}; ${}在动态解析的候,会将我们传入的参数当做String字符串填充到我们的语句中,就会变成下面的语句 select * from u...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 2025
sql注入介绍及实例操作(#{}、${})
SQL中的单引号转义
二木成林
08-15 1万+
如果我们查找字段中带有单引号的记录,如下面这种: 查找username为lisi's的记录,我们按照通常的查询SQL是这样的: select * from user where username='lisi's'; 很明显,报错了,因为它单独把"lisi"当作一个字符串来进行匹配了,而不是"lisi's"这个字符串。 解决就是将单引号进行转义,在SQL中将单引号进行转义的字符也是一个单引号。 所以将"lisi's"改为"lisi''s",在原来的基础上添加一个单引号,对原单引号进行转..
sql语句中的符号】(通配符+#{}+${})
灵活的小胖子
08-17 9281
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
MS-SQL Server 中单引号的两种处理方法
01-19
而采用非绑定方式许多程序员大都忽略了对单引号的特殊处理,一旦SQL语句的查询条件的变量有单引号出现,数据库引擎就会报错指出SQL语法不对,本人发现有两种方法可以解决和处理这种单引号的问题(以VB为例子)。...
sql语句单引号嵌套问题(一定要避免直接嵌套)
09-10
SQL语句中,单引号的嵌套和转义是一个常见的问题,特别是在处理字符串。这是因为SQL使用单引号来定义字符串的开始和结束。当你需要在字符串内包含一个单引号,直接嵌套单引号会导致语法错误。在标题和描述中...
转义使用SQL生成SQL语句单引号转义处理之q'{}'方法
cuanchuwei1207的博客
05-16 256
使用SQL生成SQL技术完成维护任务的过程中,会遇到类似单引号这样的字符需要转义,给脚本编写带来了些许的麻烦。 一般处理单引号转义是通过“两个单引号表示一个单引号”的规则完成转义。这种方法在在文章《【...
sql server中sql语句单引号怎么转义
热门推荐
爱飞的蒲公英
09-22 1万+
sql server中sql语句单引号怎么转义sql server有两个转义符:  ' 默认情况下, '是字符串的边界符, 如果在字符串中包含', 则必须使用两个', 第1个'就是转义
mysql sql语句单引号处理_使用SQL生成SQL语句单引号转义处理之q'{}'方法
weixin_34585343的博客
02-07 1112
使用SQL生成SQL技术完成维护任务的过程中,会遇到类似单引号这样的字符需要转义,给脚本编写带来了些许的麻烦。一般处理单引号转义是通过“两个单引号表示一个单引号”的规则完成转义。这种方法在在文章《【转义使用SQL生成SQL语句单引号转义处理》(http://space.itpub.net/519536/viewspace-628186)中已经给出描述和应用。当一句话中出现多个单引号,频繁转...
sql中 ${}和#{}的区别
XuJiangDong
08-11 1万+
<span style="font-size:18px;">delete from ups_role_permission_dataparams where role_id = #{roleId,jdbcType=INTEGER}</span> 在这里用到了#{},使用#:1、用来传入参数,sql在解析的候会加上” “,当成字符串来解析 ,如这里 role_id = “
mysql拼接单引号_sql语句的拼接单引号和双引号的问题
weixin_42098830的博客
01-19 3861
mysql中单双引号使用mysql使用基本的DML类型的sql语句,“”和‘’是default string label symbols. 但是在实际情况中,经常出现下面的情况:一:查询情况SELECTbook_idFROMpdWHEREisbn='9787542739810'andbook_name='"祛魅"与"返魅"';这种情况下,book_name对应的字符串是没有问题的,...
SQL拼接结果集,并且带转义字符单引号,适合组装in的条件
web开发
04-20 697
"select wm_concat(''''||t.bank_names||'''') as bankNames from tb_adjust_bank_bak t where t.bank_code = '"+tradeAccountname+"'" 下面为grails框架使用该策略的一个简单用例(查询模糊银行,例如同样为ICBC的可以模糊为工行、工商银行、中国工商银行) /** * 查...
sql中对单引号处理
zhangdong_zender
01-22 2380
转载地址:http://yefengyuhongwei.blog.163.com/blog/static/21070682007115112726390/   sql语句插入的数据中含有单引号怎么办? sql中,insert into yourTable(col1,col2) values(2,'abc') 字符串数据是用单引号包在外面的,如果插入的数据中包含单引号,就需要处理
sql sever 中sql语句单引号转义
weixin_34018169的博客
12-21 541
2019独角兽企业重金招聘Python工程师标准>>> ...
python3拼接sql语句如何防止单引号转义
最新发布
09-10
在Python3中拼接SQL语句,为了防止SQL注入攻击,应该避免直接拼接字符串,因为这样做可能会引发单引号转义问题,进而导致SQL注入安全漏洞。正确的做法是使用参数化查询,这样数据库驱动会自动处理单引号和其它特殊字符的转义问题。下面给出几个使用参数化查询的例子: 1. 使用原生SQL和参数化查询(以MySQL为例): ```python import mysql.connector # 假设已经建立了数据库连接 conn cursor = conn.cursor() user_id = 123 query = "SELECT * FROM users WHERE id = %s" cursor.execute(query, (user_id,)) ``` 2. 使用ORM框架(例如SQLAlchemy): ```python from sqlalchemy import create_engine, Table, Column, Integer, String, MetaData engine = create_engine('mysql://username:password@localhost/dbname') metadata = MetaData() users = Table('users', metadata, Column('id', Integer, primary_key=True), Column('name', String(50))) user_id = 123 query = users.select().where(users.c.id == user_id) result = engine.execute(query).fetchone() ``` 3. 使用sqlite3模块: ```python import sqlite3 conn = sqlite3.connect('example.db') cur = conn.cursor() user_id = 123 query = "SELECT * FROM users WHERE id = ?" cur.execute(query, (user_id,)) for row in cur: print(row) ``` 在以上示例中,`%s`、`%s`和`?`都是参数占位符,用于代替直接拼接的变量值。数据库驱动会负责将这些占位符替换为适当的值,并自动处理任何必要的转义,从而防止SQL注入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值