为什么我们不能手动转义一下用户输入的%,其他的再交给PreparedStatement转义?

最新推荐文章于 2021-01-19 18:54:54 发布
最新推荐文章于 2021-01-19 18:54:54 发布
阅读量782 收藏
点赞数
分类专栏: PreparedStatement的%百分号转义 文章标签: PreparedStatement的百分
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czh500/article/details/78908317
版权

我们都知道在JDBC中,PreparedStatement可以防止sql注入,不知道大家有没有想过一个问题呢?当我们在界面上查询的时候,界面上如果用户输入了%百分号,会不会导致我们的sql语句在模糊like查询的时候出现问题呢?

这里我自己有个小疑问?为什么我们不能手动转义一下用户输入的%,其他的再交给PreparedStatement转义?大家可以写程序测试下?欢迎大家一起讨论和交流!如果我们在项目中手动转义%百分号,会不会产生什么问题?请大家踊跃发言!大家思考下PreparedStatement底层对sql注入是怎么处理的?换句话说大家思考下PreparedStatement防止sql注入的原理是什么,是PreparedStatement底层对sql语句的单引号或者%分号等等自动做了转义处理吗?

程宇寒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java中PreparedStatement解决需转义字符向数据库中插入时的转义问题
Waleking的专栏
11-04 8704
简单的执行如下语句去做数据库的插入操作是有问题的!它处理不了单引号,双引号等需要转义的字符的插入问题! String sql = "insert into emailOriginal(id,date,subject,source,target" + ") value(\"" + vo.getId() + "\",\""  + vo.getDate()+"\",\""  + vo.
基于sqlite特殊字符转义的实现方法
09-10
例如,如果输入字符串包含`%`,经过该函数处理后,`%`会被替换为`/%`,从而在查询时不被解释为通配符。 在实际应用中,当我们构建SQL查询语句时,比如`SELECT * FROM table WHERE number LIKE '%/%%' ESCAPE '/'`,...
用户输入内容中的尖括号、引号等进行转义
weixin_34405557的博客
01-06 491
此方法用来将用户输入内容中的尖括号、引号等进行转义 function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, "&gt;"); s = s.replace(/</g, "&lt;"); s = s.repl...
php对用户输入数据的转义处理
lonphy23t的专栏
09-05 2416
先说明1个PHP内置函数:get_magic_quotes_gpc() 这个函数的作用就是得到php.ini设置中magic_quotes_gpc选项的值。 而magic_quotes_gpc选项如果值为On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的致命的错误。 开启时,单引号(’)、
mysql jdbc url 转义_jdbc preparedstatement 自动转义问题
weixin_29861235的博客
01-19 420
目前正在做一套框架,需求如下,prepaerdstatement.setString 里面可以是一段sql语句代码如下:这一段代码是由框架自动完成好的,然后目的是将这个注入到sql中,但是 prepaerdstatement 自动在整个外围添加2个单引号,所以就不能执行,因为该框架式在mybtis3的基础上进行封装的,就是需要pstmt.setString(' and 1=1 and 2=2 ...
插入数据库之前将特殊字符转义
05-29
为了防止此类攻击,我们需要在插入数据前对用户输入进行转义。在Java中,我们可以使用预编译语句(PreparedStatement)来实现这一目标。预编译语句可以有效地防止SQL注入,因为它会将参数化查询中的变量与SQL语句的...
java中PreparedStatementStatement详细讲解
08-25
这样可以防止 SQL 注入攻击,因为 PreparedStatement 对象会自动将用户输入的单引号转义为反斜杠(\). 如果我们使用 Statement 对象,那么就会出现 SQL 注入攻击的问题。例如: ```java Statement stmt = conn....
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
详解Java的JDBC API的存储过程与SQL转义语法的使用
09-03
在上面的例子中,我们看到一个名为`getEmpName`的Oracle和MySQL存储过程,它接受一个IN参数`EMP_ID`和一个OUT参数`EMP_FIRST`。IN参数的值在调用时提供,而OUT参数由存储过程返回。CallableStatement提供了setXXX()...
java后台对前端输入的特殊字符进行转义
weixin_33695082的博客
07-13 854
HTML: 常见的帮助类有2个:一个是spring的HtmlUtils,另外一个是apache.commons下的StringEscapeUtils 1 public static void testHtml(){ 2 String str = "&lt;a href='http://www.qq.com'&gt;QQ&lt;/a&gt;&lt;script&gt;"; ...
oracle中chr()和ascii()函数(附常用字符与ascii对照表)
long12310225的专栏
08-27 4464
今天修改数据库时,有较长字符串无法直接复制到某一个字段,开始以为是字符串太大了,但是长度距离VARCHAR2的上限还有很多,只有1700多个字符。检查这个字符按串和对应的错误。发现很怪异,是ORA-01480错误。     看看这个错误: 01480, 00000, "trailing null missing from STR bind value"// *Cause:    A bin
Performance Tips for JDBC
波波熊的专栏
12-11 303
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
java中写sql正则?被转义为null怎么办
最新发布
05-27
如果字符串中包含转义字符,可能会导致SQL语句无法正确执行,出现异常或者被转义为null的情况。 在Java中,可以使用双反斜杠(\\)来转义正则表达式中的特殊字符,例如: ``` String regex = ".*\\d+.*"; ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值