sql语句模糊查询单引号问题,及jquery方法扩展,struts2拦截器

最新推荐文章于 2022-12-27 11:25:16 发布
最新推荐文章于 2022-12-27 11:25:16 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: jQuery 数据库 文章标签: jquery sql 单引号 模糊查询 val
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36086968/article/details/52539692
版权
  • 在sql语句中使用单引号模糊查询可能报错,例如:查询的单引号与%%两端的单引号匹配了形成断句,从而导致查询失败。所以要将单引号转义,变成两个单引号 '' 就行了。
SELECT * from ft_providers WHERE last_name like '%'%';          //报错

SELECT * from ft_providers WHERE last_name like '%''%';         //正确

  • 那么在前端或者java里面就要将查询字符串进行替换,java里面比较简单,有replaceAll( )方法。但是js中没有,则可以用正则表达式来全局替换。
var account = $("#query_account").val().replace(new RegExp("'","gm"),"''"); //将单引号变成两个单引号,防止数据库模糊查询出错 g:表示全局匹配 m表示执行多行匹配
  • 我们也可以编写String对象的原型方法,来添加一个replaceAll()方法:
 String.prototype.replaceAll = function(s1,s2){
      return this.replace(new RegExp(s1,"gm"),s2);
 }

str.replaceAll("'","''");               //使用自定义替换全局
  • 在js语句中,当很多页面很多模糊查询的条件时,都要运用上面的方法进行一遍替换操作,很麻烦。
function queryDataInfo(){
            $('#datagrid').datagrid('load',{
                   'vo.account': $("#query_account").val().replaceAll("'","''"),
                   'vo.storeId': $("#query_storeId").val().replaceAll("'","''"),
                   'vo.isAble': $("#query_isAble").combobox('getValue')
            });
            $("#query_dialog").dialog('close');
       }

既然都是通过val()方法取值然后替换,则干脆扩展val()方法直接全部替换:
可能出现问题:
  1. 当取值中确实有单引号,而我们并不需要去进行模糊查询操作,则可能获取的值与传递的值不一致。
  2. 所有这样扩展只能用于本例中用于模糊查询,一般form表单也不用一个一个取值去传递,所以这权当是一次学习扩展方法,以后有想满足自己什么功能自己再修改就是了。
//一定要写在这里面,不然会报错
$(function(){

     /**
      * 修改Jquery的val() 方法,进行全局替换' 为''
      * 用于在sql模糊查询中,一个单引号会对sql语句造成影响,两个单引号则形成转义作用
      * @param options
      * @returns
      */
     (function ($) {                                       //形成一个闭包
            var originalVal = $.fn.val;                    //获取原val方法
            $.fn.val = function(value) {
              if (arguments.length >= 1) {                 //判断是否传入参数,来判断是赋值还是取值
                return originalVal.call(this, value);      //赋值的话则执行原方法
              }
              var r = originalVal.call(this);              //执行原方法
              return r.replace(new RegExp("'","gm"),"''"); //扩展:一个单引号变成两个单引号
            };
     })(jQuery);
});

  • 上面是将Jquery原型val方法处理了,但是难免会在某些地方出现不可预知的问题。怎么办?其实这种,逻辑更愿意放在后台代码处理,而不是前台。所以查阅了相关资料,可以利用拦截器或者过滤器来处理字段。
我们来简单区分一下这两者的区别:
      过滤器:能过滤所有的请求, 依赖与servlet容器,基于回调函数,不能获取值。
      拦截器 : 只拦截Action请求,基于java的反射机制,能够获取值栈的值。能够多次调用。
     所以,要满足我们的需求,需要处理参数值,所以使用拦截器再好不过了。而过滤器则不能实现功能。如下为参数值方法拦截器实现,并在方法中处理单引号为双单引号。 
import java.util.Iterator;
import java.util.Map;
import java.util.Map.Entry;
import javax.servlet.http.HttpServletRequest;
import org.apache.struts2.ServletActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.MethodFilterInterceptor;

/**
 * 查询值拦截器
 * 用于sql语句模糊查询时,关于单引号查询进而在此转义
 * @author aggerChen
 *
 */
public class QueryValueInterceptor extends MethodFilterInterceptor {
   
     @SuppressWarnings("rawtypes")
     @Override
     protected String doIntercept(ActionInvocation invocation) throws Exception {
          HttpServletRequest request = ServletActionContext.getRequest();          //获取请求
          String type = request.getHeader("X-Requested-With");                     //获取请求头
              
          if(type == null) return invocation.invoke();                             //type为null则表示非ajax请求。本项目查询方式都是ajax请求的,所以在此来排除一些其他的请求,比如表单                             

          Map<String,String[]> map =  request.getParameterMap();                   //获取请求中所有的参数map
          Iterator it = map.entrySet().iterator();
          //迭代
        while (it.hasNext()) {
            Entry entry = (Entry) it.next();
            String key = (String) entry.getKey();
            String[] values = (String[]) entry.getValue();
            if(key.indexOf("vo.")!=-1){                                 //判断是否是对象传参,vo.xxx 则为查询请求
              if(!"".equals(values[0])){
                   values[0] = values[0].replaceAll("'", "''");         //将一个单引号处理为两个单引号
              }
            }
        }
        return invocation.invoke();
     }

}

在struts.xml中配置拦截器。此示例只展示过滤器相关配置。
将默认拦截器设置为loginAndroleInterceptor拦截器栈,此栈中先进入roleInterceptor拦截器,再引入loginStack拦截器栈。loginStack栈中先经过登录拦截器,在经过本例自定义的查询条件拦截器,最后经过struts默认拦截器。
struts默认拦截器一定是在自定义拦截器最后再经过的。 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
     <!-- 引入默认拦截器 -->
     <include file="struts-default.xml" />

     <package name="base-packege" extends="struts-default">
          <interceptors>
              <!-- 登陆拦截器 -->
              <interceptor name="loginInterceptor" class="com.fortis.cms.interceptor.LoginInterceptor"></interceptor>
              <!-- 角色拦截器 -->
              <interceptor name="roleInterceptor" class="com.fortis.cms.interceptor.RoleInterceptor"></interceptor>
              <!-- 查询条件值拦截器  本例自定义拦截器-->
              <interceptor name="queryValueInterceptor" class="com.fortis.cms.interceptor.QueryValueInterceptor"></interceptor>
              <!--登录拦截器栈  -->
              <interceptor-stack name="loginStack">
                   <interceptor-ref name="loginInterceptor">
                        <param name="excludeMethods">login,notNeedRoleForwardLogin</param>
                   </interceptor-ref>
                   <interceptor-ref name="queryValueInterceptor"></interceptor-ref>
                   <interceptor-ref name="defaultStack"></interceptor-ref>
              </interceptor-stack>
              <!--登录和角色拦截器栈  -->
              <interceptor-stack name="loginAndroleInterceptor">
                   <interceptor-ref name="roleInterceptor">
                       <param name="excludeMethods">login,notNeedRole*,queryMenuTree</param>
                   </interceptor-ref>
                   <interceptor-ref name="loginStack" />
              </interceptor-stack>
          </interceptors>
          <!--设置默认拦截器栈  -->
          <default-interceptor-ref name="loginAndroleInterceptor"></default-interceptor-ref>
         
     </package>
</struts>





总结:这是在项目中遇到的问题,这也是我解决的思路历程,暂时没报错了,不过其他地方调用val()有没有问题还没有一一去验证,权当是一次联系重写方法了。拦截器处理的话,应该是不会出错了。

Agger_chen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql语句单引号,双引号的处理方法
12-15
下面我们就分别讲述,虽然说的是Insert语句, 但是Select、Update、Delete语句都是一样的。 假如有下述表格:          mytabe          字段1    username     字符串型(姓名)          字段2    age          数字型(年龄)          字段3    birthday      日期型(生日)          字段4    marry        布尔型(是否结婚,结婚为True,未结婚为False)          字段5    leixing       字符串型(类型)          1
模糊查询的时候,?不能出现在单引号内?
最新发布
qq_58341172的博客
11-24 699
SQL语句中,单引号内不能使用问号(?这是因为问号在SQL语句中具有特殊含义,表示参数占位符。${属性} 是不能有效防止SQL注入问题,并且是字符拼接的形式进行占位操作。其中,#{属性} 有助于防止SQL注入问题,通过传入参数的形式,进行占位操作;
要查询的字段里面带有一个双引号或者单引号 如何使用like模糊查询
yz18931904的博客
03-04 1万+
本人测试的是mysql、 当使用的时候只要使用反斜杠转移字符就好 举例: select * from cx_interface_log WHERE text like '%\'5555\'%';
js实现模糊查询
SqlloveSyn的博客
12-27 4281
使用js实现模糊查询
SQL语句中的单引号处理以及模糊查询
热门推荐
xbbccx的专栏
02-14 1万+
为了防止程序SQL语句错误以及SQL注入,单引号必须经过处理。有2种办法: 1、使用参数,比如SELECT * FROM yourTable WHERE name = @name; 在C#中使用SqlParameter parameter = new SqlParameter("@name", objValue);来添加参数,懒得写SqlDbType这东西了,因为不写也完全可以,只需要参数
MyBatis中,模糊搜索中单引号与双引号所引发的问题(已解决)
08-31 3067
先说遇到的问题:在MyBatis中,经常会用到模糊查询,在自动生成的代码中Example中,无法满足要求的情况下,就需要在XML中增加自定义的SQL,在XML中编写SQL时关注单引号与双引号有两个地方需要注意; 第一个:if条件判断中,test 条件用双引号,条件判断中,需要判断字符非空的用null 与单引号;例: <if test="params.name != null and params.name != ''"></if> ...
PLSQL 简单查询语法
Tapyou的博客
10-23 2056
注释:┌单行注释 --注释内容 └多行注释 /*注释内容*/ 注释的功能:1.增加代码可读性 2.方便梳理代码逻辑 select * --查询emp表的所有内容 from emp 初级班:增删改查 查询┌简单查询 ├限定查询 └模糊查询 一:简单查询 语法:select 要查询的内容 from 数据来源 关键字:oracle数据库中,关键字会变绿,所有的操作都是由不同的关键字组合成...
PLSQL 模糊查询语法
Tapyou的博客
10-23 3109
优先级:计算的顺序 1.小括号 2.乘除 3.加减,连接符 4.比较符 5.is null,in 6.between and 7.not 8.and 9.or 小括号优先级最高,or的优先级最低 可以用小括号来改变优先级 同一优先级从左往右依次计算 如果不记得优先级顺序,记得加括号 ((A and B) or (C and D)) ((A or (B and C)) or D) --简单查询 --限定查询 --模糊查询 语法: select 要查询的内容 from 数据来源 where 列...
解决python 执行sql语句时所传参数含有单引号问题
01-21
执行语句如下: sql_str = INSERT INTO teacher(t_name, t_info, t_phone, t_email) VALUES\ (\'%s\', \'%s\', \'%s\', \'%s\') % (result, result2, phoneNumber, Email) cur.execute(sql_str) 执行程序后,产生...
sql语句单引号嵌套问题(一定要避免直接嵌套)
09-10
直接嵌套肯定是不行的,java中用反斜杠做转义符也是不行的,在sql中是用单引号来做转义符的
如何用sql模糊查询如:单引号
MMY
02-09 727
 1:如果在sql中:单引号的查询 select * from t where t.name like '%"%'; 两个单引号的中间加个双引号就可以了 2:如果是在程序中拼装sql String s = ""; s ="select *from t where t.name like "; s +="'%"; s +="\""; s += "%'";  这里主要是像两
mysql模糊查询单引号 ‘报错
他山之石 可以攻玉
11-04 690
执行sql语句 SELECT XX from yy.zz WHERE aa LIKE '%'%'; 报错 Error Code:1064 修改sql语句 SELECT XX from yy.zz WHERE aa LIKE '%\\'%'; python语句 def FuzzyQuery(Qtable, Qcolumn, str): if int(Qtable) not in [0,1,2] or int(Qcolumn) not in [0,1,2,3,4]: .
mysql单引号模糊查询_SQL语句中的单引号处理以及模糊查询
weixin_34329350的博客
01-19 1279
为了防止程序SQL语句错误以及SQL注入,单引号必须经过处理。有2种办法:1、使用参数,比如SELECT * FROM yourTable WHERE name = @name;在C#中使用SqlParameter parameter = new SqlParameter("@name", objValue);来添加参数,懒得写SqlDbType这东西了,因为不写也完全可以,只需要参数名和值。在J...
SQL模糊查询语句拼接时单引号'问题
balangzhan6550的博客
03-03 825
下面以存储过程查询所有为例,非存储过程(或不是查询所有将*替换为你想要查询的列即可)更为简单, 语法:select * from 表名 where 列名like'%条件%' 拼接后的set @变量名 = 'select * from 表名 where ' + @条件 + ' like ' + '''' + '%' + @传入的值 + '%'+''''       --① 例如:s...
防止SQL注入攻击的注意事项
happycell188的博客
04-15 699
防止SQL注入攻击的注意事项 一. SQL Injection及其防范的基本知识可能大家都知道,SQL注入主要是利用字符型参数输入的检查漏洞。比如说,程序中有这样的查询: string sql = "SELECT * FROM SiteUsers WHERE UserName=" + userName + "";其中的userName参数是从用户界面上输入的。如果是正常的输入,
SQL语句中带单引号
08-02
回答: 在SQL语句中,如果需要在查询条件中使用单引号,最好使用参数化查询来避免SQL注入的风险。如果必须使用单引号,可以通过在单引号前再加一个单引号来转义。例如,如果要查询Name为abc'cc的记录,可以使用以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值