sql语句中一些特殊字符的处理

最新推荐文章于 2021-11-16 11:47:23 发布
最新推荐文章于 2021-11-16 11:47:23 发布
阅读量555 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/chengfang/archive/2012/12/13/SQL.html
版权

为了防止SQL注入,同时避免用户输入特殊字符时查询结果不准确的问题(特别是 % _ ' 这三个字符)

    public static String escapeSQL(String str) {
        if (str == null || str.length() == 0) {
            return str;
        }
        String[] chars = new String[4], escape = new String[4];
        chars[0] = "\\";
        escape[0] = "\\\\\\\\";
        chars[1] = "\n";
        escape[1] = "\\\\n";
        chars[2] = "'";
        escape[2] = "''";
        chars[3] = "\r";
        escape[3] = "\\\\r";
        for (int i = 0; i < chars.length; ++i) {
            str = str.replace(chars[i], escape[i]);
        }
        str = str.replace("%", "\\%").replace("_", "\\_");
        return str.trim();
    }

这样处理的弊端:当用户输入带%或_的查询条件时, 会查不到数据。

解决办法 :动态加上ESCAPE '\'语句

 

sql语句:

<select id="SELECT.A_USR_S02.GET_LIST_USER"
            parameterClass="my.com.honda.servicebooking.a_usr.dto.A_USR_S02_Input"
            resultClass="my.com.honda.servicebooking.a_usr.dto.A_USR_S02_Output">
        <include refid="sql_head" />
        <dynamic prepend="and">
            <isNotEmpty property="userType" prepend="">
                U.USER_TYPE=#userType#
            </isNotEmpty>
        </dynamic>
        <dynamic prepend="and">
            <isNotEmpty property="userStatus" prepend="">
                U.USER_STATUS=#userStatus#
            </isNotEmpty>
        </dynamic>
        <dynamic prepend="and">
            <isNotEmpty property="userName" prepend="">
                <isNotEmpty property="userNameSingleQuotes" prepend="">
                    UPPER(U.USER_NAME) LIKE UPPER(' %$userName$% ')   //此处检测当输入的查询条件中含有单引号',就不用 '%'||#userName#||'%',

                </isNotEmpty>                                                                             而用%$userName$%

                <isEmpty property="userNameSingleQuotes" prepend="">     
                    UPPER(U.USER_NAME) LIKE UPPER( '%'||#userName#||'%' )
                </isEmpty>
                <isNotEmpty property="userNamePercentOrUnderline" prepend="">
                    ESCAPE '\'       //此处检测当输入的查询条件含有%或者_时,就加上 ESCAPE '\'
                </isNotEmpty>
            </isNotEmpty>
        </dynamic>    
        <dynamic prepend="and">
            <isNotEmpty property="idUser" prepend="">
                <isNotEmpty property="idUserSingleQuotes" prepend="">
                    UPPER(U.USER_ID) LIKE UPPER('%$idUser$%')
                </isNotEmpty>
                <isEmpty property="idUserSingleQuotes" prepend="">
                    UPPER(U.USER_ID) LIKE UPPER('%'||#idUser#||'%')
                </isEmpty>
                <!-- idUser have % or _  -->
                <isNotEmpty property="idUserPercentOrUnderline" prepend="">
                    ESCAPE '\'
                </isNotEmpty>
            </isNotEmpty>
        </dynamic>
        <dynamic prepend="and">
            <isNotEmpty property="svcCtrCode" prepend="">
                S.SVC_CTR_CODE=#svcCtrCode#
            </isNotEmpty>
        </dynamic>
        <dynamic>
            ORDER BY UPPER(U.USER_ID) ASC,
                UPPER(U.USER_NAME) ASC
        </dynamic>
    </select>

 

 

 

 

由于前面加了%和_的处理,那么单引号用这种方法就查不到数据了

解决办法:将'%'||#userName#||'%'替换成%$userName$%  

*注: $param$ 是ibatis内部自带的,而#param#是oracle自带的,两者想过等价


 

 

转载于:https://www.cnblogs.com/chengfang/archive/2012/12/13/SQL.html

weixin_30832983
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server查询特殊字符处理
06-30
SQL Server查询特殊字符处理 我们都知道SQL Server查询过程,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。 但这只是特殊字符的一个,在实际项目,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。 其用途如下: 下划线..........
SqlServer模糊查询对于特殊字符处理方法
09-09
在实际开发,为了防止意外的特殊字符问题,可以考虑使用参数化查询或存储过程,这不仅可以避免SQL注入攻击,还能确保查询语句的正确性。同时,对于复杂的模糊查询需求,可以利用SQL Server提供的`PATINDEX`函数,...
SQL特殊字符处理
marrco2005的专栏
02-13 2438
 用户输入如果没有任何限制的话,则必须对特殊字符进行变换。如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。不过回避方法却非常简单,只要将单引号[]转换成两个单引号[]就可以了。例:SELECT * FROM TBL WHERE COL = ABCDEF;模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。回避方法较单引号复杂。需要使用转义
SQL特殊字符处理zz
weixin_34192816的博客
07-15 159
用户输入如果没有任何限制的话,则必须对特殊字符进行变换。如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。不 过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。例:SELECT * FROM TBL WHERE COL = 'ABC''DEF';模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。回避方法较单引号复杂。需 要使用...
sql特殊字符处理
yang_chj的博客
03-24 2676
SQL查询特殊字符处理  我们都知道SQL查询过程,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。  但这只是特殊字符的一个,在实际项目,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。  其用途如下:  下划线:用于代替一个任意字符(相当于正则表达式的 ? )  百分号:用于代替任意数目的
mybatis xml特殊字符处理特殊符号
08-27
MyBatis提供了两种处理特殊符号的方法: 1. **直接替换法**:将特殊字符替换为对应的转义序列。例如,SQL语句 `create_date_time >= #{startTime} and create_date_time ,需要将 `>=` 和 `替换为 `>=` 和 `<...
ACCESS关于SQL语句的转义字符
09-11
SQL语句,某些特殊字符具有特殊含义,如*、%、[等。这些字符在不同的场景下可能会引发歧义或语法错误。例如,在LIKE操作符,%是一个通配符,表示匹配零个或多个字符。如果我们想要匹配实际的%字符,而不是...
ibatis sql语句对条件特殊字符% # 处理
03-20
### ibatis SQL语句对条件特殊字符% # 处理 在开发过程,经常会遇到SQL查询时需要处理字符串特殊字符的情况。特别是在使用类似`LIKE`这样的操作符时,如果用户输入的数据含有`%`、`_`或`#`等特殊字符,...
SQL语句含有乘号报错的处理办法
09-10
SQL语句,乘号(*)是一个特殊符号,它通常用于表示通配符或者在数学计算代表乘法操作。然而,当我们在编写动态SQL时,如果直接在字符串使用乘号(*),可能会遇到编译错误或运行时异常,尤其是在与编程语言...
SQL 特殊字符处理
05-12
SQL 特殊字符处理处理在模糊查寻特殊字符的替换
SQL Server查询特殊字符处理方法
05-31
此文档详细的记载了,SQL Server查询特殊字符处理方法,希望可以帮到下载的朋友们!
SQL关于特殊字符处理的基本方法.doc
12-21
SQL关于特殊字符处理的基本方法.doc 希望对qsl初学者有所帮助
SQL优化通用类/特殊字符过滤/优化查询排序/异常记录
09-12
SQL/SqlParameter特殊字符过滤/优化查询排序/异常记录row_number()over(order by {1})as row 排序 not in 排序 SQL查询、更新、插入、分页排序,存储过程调用
SQL 特殊字符&处理
kavinhub
12-19 198
update userinfo set pageurl='myjsp?page=1[color=red][b]&[/b][/color]pagesize=10' where id='test' 怎么处理上例特殊字符? 两个办法: 1) update userinfo set pageurl='myjsp?page=1[color=red][b]'||'&'||'[/b][/color...
关于处理SQL特殊字符的基本方法总结
热门推荐
05-22 3万+
1、sql特殊字符带来的问题 在sql语句,有些特殊字符,是sql保留的。比如 ' [ ]  等。我们可以先看看它们的用法。 当需要查询某数据时,加入条件语句,或着当你需要insert记录时,我们用  '  来将字符类型的数据引起来。比如: Select * from Customers where City = 'London' 当表的名字或列的名字,含有空格等一些特殊字符
数据库sql的特殊字符
tianyu0910的专栏
01-15 762
数据库sql的特殊字符:1)单引号’:例如string a = “this is marry’s book.”;             使用insert时就会出错。             解决:a= a.Replace("","");2)百分号% :例如string a = “50%”;             使用like查询,查出带有50%的所有记录,则会被认为是
处理SQL语句一些特殊字符,不被转义的方法?
Do_LaLi的博客
11-16 3036
<![CDATA[]]>标签 在编写SQL语句时,如果使用一些特殊字符如:>,<,&等等。我们不希望在解析XML文件的时候被转义,这个时候我们可以使用<![CDATA[]]>来解决。 案例: <!--查询条件包含特殊字符就将sql写在里面:<![CDATA[sql]]>--> <![CDATA[ AND lately_time >= #{startTime}
mysql 生成sql语句时候特殊字符处理
最新发布
05-24
以下是在 MySQL 使用转义字符处理特殊字符的示例: 1. 单引号 如果需要在字符串插入单引号,可以使用反斜杠“\”来转义。例如: ``` INSERT INTO my_table (name) VALUES ('John\'s Book'); ``` 2. 双引号 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值