使用prepareStatement进行模糊查询时的单引号问题

最新推荐文章于 2023-04-28 09:17:31 发布
最新推荐文章于 2023-04-28 09:17:31 发布
阅读量1.9k 收藏
点赞数
分类专栏: JDBC 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_14438/article/details/82636728
版权
本文介绍了在Java数据库操作中,使用executeQuery进行模糊查询时需要手动转义单引号,而使用prepareStatement或JdbcTemplate进行查询时,由于内置的SQL注入防护,可以避免手动转义,简化了代码并提高了安全性。
摘要由CSDN通过智能技术生成
写道
■Statement#executeQueryを使う場合

  ⇒ SQLに埋め込むので、シングルクォートのエスケープが必須

    入力=[']
    変換=[%''%]


■Connection#prepareStatement を使う場合
■JdbcTemplate#queryForList を使う場合

  ⇒ 基本的にSQLインジェクション対策がされているので、
    シングルクォートのエスケープをしてはいけない

    入力=[']
    変換=[%'%]

如果使用executeQuery进行查询

     需要在SQL文中对单引号进行转义

如果使用

最低0.47元/天 解锁文章
iteye_14438
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
hibernate 模糊查询中查询条件包含单引号问题
wangts的专栏
08-06 2484
使用hibernate进行模糊查询,比如 colname like %keyword%,如果keyword包含单引号,很明显有语法错误,但进行转义后执行仍然是错误的。通过Google,baidu终于查到把一个但引号替换成两个单引号就可以正常运行: colname like %its a dog%  改成 colname like %its a dog%  ,
PreparedStatement 单引号
qq_45178972的博客
10-03 1276
String sql=“insert into filedata(filename,path) values(’ “+file.getName()+” ',?)”; insert字符两边要加单引号‘’
Statement 进行sql操作的候,如果出现了字符中出现英文的单引号,怎么替换
吃素的哈士奇de博客
10-09 446
在拼接sql的候出现问题,我链接的中文字符里面出现了英文的单引号" ’ ",那么,正常拼接的sql就会出问题,怎么避免这个问题呢。,但是sql肯定是有问题的,无法执行。讲原本的一个单引号换成两个单引号即可!
Java在mysql中插入含有单引号的内容报错
weixin_34341117的博客
09-24 1721
2019独角兽企业重金招聘Python工程师标准>>> ...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,我们来看一下JDBC连接MySQL的步骤。在Java程序中,我们需要导入相应的JDBC驱动,例如`...
sql语句中单引号嵌套问题(一定要避免直接嵌套)
09-10
这是因为SQL使用单引号来定义字符串的开始和结束。当你需要在字符串内包含一个单引号,直接嵌套单引号会导致语法错误。在标题和描述中提到的,直接嵌套单引号是不可行的,而且Java中的反斜杠转义方法在SQL中也不...
prepareStatementStatement的区别
09-23
首先,从创建的区别开始,Statement 需要通过 Connection 对象的 createStatement() 方法创建,而 PreparedStatement 需要通过 Connection 对象的 prepareStatement() 方法创建,并且需要带有 SQL 语句。...
hibernate的分页模糊查询功能
08-31
1. 使用预编译的HQL(HQL PrepareStatement)以防止SQL注入。 2. 将HQL和参数分开管理,避免字符串拼接造成的复杂性,可以使用Criteria API或者JPA的 CriteriaBuilder 来构建更安全、更灵活的查询。 3. 使用命名参数...
JDBC
weixin_30484739的博客
07-25 67
1、准备工作 引入驱动包 构建路径 build path 测试用户是否正确登录2、建立连接1)、连接字符串驱动: oracle.jdbc.driver.OracleDriverurl: jdbc:oracle:thin:@db服务器地址:端口:实例 连接urljdbc:oracle:thin:@localhost:1521:orcl用户名与密码: scott tiger2)、编写测试类加...
JAVA学习提高之----解决插入数据库遇到的引号问题
仰望者!
12-04 1311
今天在论坛上看到了问题,自己也总结一下先:帖子如下:http://topic.csdn.net/u/20081204/01/c45bda75-e429-4600-8924-7f2c7d67406e.html?seed=1788175006高手们已经做了解答,基本有两个解决方法一、是采用PreparedStatement,然后setStringString sql = " update in
prepareStatement出现模糊查询问题总结
疯狂的芒果
07-13 3852
prepareStatement这个在非模糊查询还正常, 案例1:  类似与 select ... where info like '%?%' 这里的问号是不被看作是占位符的,所以当set的候会报错java.sql.SQLException: Parameter index out of range
JDBC 的sql语句每个字段左右两边必须有‘单引号‘包裹
qq_27494201的博客
04-28 161
JDBC 的sql语句每个字段左右两边必须有‘单引号’包裹。
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 817
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
jdbc 使用preparestatement 模糊查询里的sql语句怎么写
06-01
您好,对于使用 `PrepareStatement` 进行模糊查询,可以使用 `LIKE` 关键字,并在查询参数中使用 `%` 通配符。 例如,假设您要查询名字中包含字母 `abc` 的用户,可以这样编写 SQL 语句: ``` SELECT * FROM users...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值