java sql特殊字符处理_java用字符串拼接SQL语句的特殊字符转义问题

最新推荐文章于 2024-04-15 16:29:44 发布
最新推荐文章于 2024-04-15 16:29:44 发布
阅读量1.9k 收藏
点赞数
文章标签: java sql特殊字符处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33220713/article/details/114392709
版权

在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和‘,就需要进行转义,因为这3个字符是SQL的特殊字符,如果不处理会导致sql出错或者是查询数据不正确。

假如有这样1个查询请求,模糊查询标题中包含a%b_cc‘d的记录,正确的sql应该是下面这样的:

select * from t_sch_work_info t where t.title like '%a/%b/_cc''d%' ESCAPE '/';

这就需要对String content = "a%b_cc‘d";进行转义后,再拼成SQL语句。oracle数据库允许我们使用自己定义的字符作为转义字符。看了下我们项目DAO层的编码风格,使用到了2种转义字符 \  和  /  。定位问题的时候发现,有人拼接SQL语句出错。自己用这2种字符,写了2个公用方法,经过测试是正确的。

/**

*

* 对content的内容进行转换后,在作为oracle查询的条件字段值。使用/作为oracle的转义字符,比较合适。

* 既能达到效果,而且java代码相对容易理解,建议这种使用方式

* "%'" + content + "'% ESCAPE '/' "这种拼接sql看起来也容易理解

*

* @param content

* @return

*/

public static String decodeSpecialCharsWhenLikeUseBackslash(String content)

{

// 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号

String afterDecode = content.replaceAll("'", "''");

// 由于使用了/作为ESCAPE的转义特殊字符,所以需要对该字符进行转义

// 这里的作用是将"a/a"转成"a//a"

afterDecode = afterDecode.replaceAll("/", "//");

// 使用转义字符 /,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("%", "/%");

// 使用转义字符 /,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("_", "/_");

return afterDecode;

}

/**

* 对content的内容进行转换后,在作为oracle查询的条件字段值。使用\作为oracle的转义字符。

* 这种做法也能达到目的,但不是好的做法,比较容易出错,而且代码很那看懂。

* "%'" + content + "'% ESCAPE '\' "这种拼接sql实际上是错误的.

* "%'" + content + "'% ESCAPE '\\' "这种拼接sql才是正确的

*

* @param content

* @return

*/

public static String decodeSpecialCharsWhenLikeUseSlash(String content)

{

// 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号

String afterDecode = content.replaceAll("'", "''");

// 由于使用了\作为ESCAPE的转义特殊字符,所以需要对该字符进行转义

// 由于\在java和正则表达式中都是特殊字符,需要进行特殊处理

// 这里的作用是将"a\a"转成"a\\a"

afterDecode = afterDecode.replaceAll("\\\\", "\\\\\\\\");

// 使用转义字符 \,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("%", "\\\\%");

// 使用转义字符 \,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("_", "\\\\_");

return afterDecode;

}

对比上面的代码,很容易看出使用/,代码更简单,更容易理解。之所以写这个博客,不是推荐大家去手动拼接SQL字符串,因为这种做法效率很低,而且很容易出错。实际开发中,我们应该使用JDBC或者hibernate等框架,提供的预编译SQL。使用预编译语句不仅让代码可读性更好,而且还会有性能优势。可以参考这篇文章:

原文:http://blog.csdn.net/aitangyong/article/details/42749213

范奕信
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MYSQL java处理sql与语句中的特殊字符
sdrfsef的博客
05-09 1758
' :用于包裹搜索条件,需转为 \' % :用于代替任意数目的任意字符,需转换为 \% _ :用于代替一个任意字符,需转换为 \_ \ :转义符号,需转换为 \\\\ \t : 需转换为 \\t \n : 需转换为 \\n * : 需转换为 \* str.replaceAll("\\\\", "\\\\\\\\") .replace("\'", "\\'") .replace("%", "\\%") .replace("_", "\\_") ....
java sql 字符串 转义_java拼接SQL语句特殊字符转义
weixin_36157837的博客
02-13 2861
在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和',就需要进行转义,因为这3个字符是SQL特殊字符,如果不处理会导致sql出错或者是查询数据不正确。假如有这样1个查询请求,模糊查询标题中包含a%b_cc'd的记录,正确的sql应该...
MyBatis 动态拼接Sql字符串问题
09-01
MyBatis的动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串问题,非常不错,感兴趣的朋友一起看下吧
Spring 的优秀工具类盘点,第 2 部分: 特殊字符转义和方法入参检测工具类
elimago的专栏
09-18 1406
Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。在这个分为两部分的文章中,我们将从众多的 Spring
sql特殊字符转义处理,防止注入
lychaox的专栏
09-23 8477
SQL特殊字符转义 应 该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴
java sql 转义字符,在Java转义SQL字符串
weixin_39942637的博客
02-12 450
Background:I am currently developing a Java front end for an Enterprise CMS database (Business Objects). At the moment, I am building a feature to allow the user to build a custom database query. I ...
pb将带分隔符字符串转为SQL IN语句字符串.zip_PowerBuilder_SQL IN_字符串转IN语句
09-24
POWERBLUIDE12.5 将带有分隔符的字符串,转为SQL IN语句中需要的格式字符串;如:ABCD1234,ABCD5678 转换为 'ABCD1234','ABCD5678'然后可放直接放入IN语句中。
SQL中的转义字符
12-14
SQL(结构化查询语言)中,转义字符是一个关键概念,它允许用户在字符串中插入特殊字符,如单引号、百分号和下划线,这些字符在SQL语句中通常具有特定含义。转义字符使得这些特殊字符能够被当作普通文本处理,而...
ACCESS中关于SQL语句转义字符
09-11
ACCESS中SQL语句转义字符详解 ACCESS是一个功能强大且灵活的关系数据库管理系统,在构建数据库应用程序时,SQL语句扮演着至关重要的角色。但是,在编写SQL语句时,需要注意转义字符的使用,以避免语法错误和安全...
javaSQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring)
binyao02123202的专栏
03-18 2840
<br />Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。<br />在这个分为两部分的文章中,我们将从众多的 Spring 工具类中遴选出那些好用的工具类介绍给大家。第 1 部分 介绍了与文件资源操作和 W
java处理sql注入方法——sql转义
xzw_123的专栏
01-13 8788
昨天被扫描出来sql注入问题,之前以为已经解决了,没想到还是出现了。 网上现有方法: 1、preparestatement 由于每次执行都需要prepare,所以不推荐使用 2、一个单引号变成两个replace("'","''")其他的字符串替代方法有着局限性,就不列举了。 我最开始使用的是2方法,但是还是有方法可以破解。 后来参考php的addslashes函数,写了一个java的e
JavaSE--字符串+转义字符
yzwd_lyh的博客
04-11 735
注:字符串的结束标志是一个 \0 的转义字符。在计算字符串长度的时候 \0 是结束标志,不算作字符串内容。像这种由双引号引起来的一串字符称为字符串字面值,简称字符串字符串:“hello world”
Java sql 转义
weixin_34220179的博客
07-14 859
2019独角兽企业重金招聘Python工程师标准>>> ...
Java----工具类】字符串转义与反转义
热门推荐
Sunny
05-27 1万+
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,Java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提时引入对应的jar包,以下为它的部分...
java sql 查询中的转义序列不对_SQL查询中的转义字符
weixin_32401411的博客
02-16 235
如果想查找“_cs”结尾的的账户select * from [user] where loginname like '%_cs'是不行的,_ 被认为是任意的字符,所以需要转义字符,有两种写法:select * from [user] where loginname like '%[_]cs'select * from [user] where loginname like '%/_cs' esca...
java 转义
chinaxiaofeng8的专栏
09-10 440
错误写法:   正确写法:  
一文彻底弄懂Java字符串拼接(比如sql拼接)
m0_72642362的博客
04-15 688
首先我们要知道,Java里的字符串只能是双引号括起来(单引号是字符),如果在双引号里面使用变量(这里的变量指的是所有类型的变量,不只是String类型变量):第一步:用单引号括起来;第二步:在单引号里面加上一对双引号;第三步:在上一步的双引号里面加上两个加号;第四步:在两个加号里面写入变量。在做项目的要用到sql的语句的时候,我们常常不知道怎么拼接sql语句,查询语句还好,尤其是“更新语句”,比如insert,update。
sql 转义字符(反斜杠问题
xxxvshell的博客
10-25 1万+
 关于sql中的转义字符,记录一下:     实验环境: mySql     where  xxx =  '检索条件'    -&gt;  默认特殊字符: ' \ (单引号,反斜杠)     where  xxx like '检索条件'  -&gt;  默认特殊字符: ' \  _ % (单引号,反斜杠,下划线,百分号)   对应上述问题,可以在java端进行转义 public ...
<![CDATA[]]>和转义字符
文景大大
06-27 6465
被<![CDATA[]]>这个标记所包含的内容将表示为纯文本,比如<![CDATA[<]]>表示文本内容“<”。   此标记用于xml文档中,我们先来看看使用转义符的情况。我们知道,在xml中,”<”、”>”、”&”等字符是不能直接存入的,否则xml语法检查时会报错,如果想在xml中使用这些符号,必须将其转义为实体,如”<”、”>”、”&”,这样才能保存进xml文档。   在
java 过滤sql特殊字符_防止特殊字符SQL注入
最新发布
07-23
Java 中,过滤 SQL 特殊字符是为了防止 SQL 注入攻击。这种攻击通常通过用户输入恶意的 SQL 代码,试图改变数据库的操作意图。以下是一些常见的处理方式: 1. **预编译语句 (PreparedStatement)**: 使用 PreparedStatement 可以避免直接拼接 SQL,因为它的参数会被自动转义。这种方式可以防止 SQL 注入,因为数据库驱动会自动处理特殊字符。 ```java String userInput = ...; // 用户输入 String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, userInput); // 参数化查询 ResultSet rs = pstmt.executeQuery(); ``` 2. **参数化工具库**: 使用像 Apache Commons DBUtils、JDBI 或 JUnit等库提供的工具,它们提供了更高级别的安全功能来处理参数。 3. **正则表达式或替换函数**: 对用户输入进行简单的字符串操作,如去除单引号、双引号和其他可能引起问题的字符。不过这种方法不够安全,因为依赖于特定的规则,可能存在漏洞。 4. **ORM 框架**: 一些 ORM(Object-Relational Mapping)框架,如 Hibernate 和 MyBatis,内置了防止 SQL 注入的功能。 重要的是要记住,仅仅过滤特殊字符是不够的,还需要结合其他安全措施,比如验证数据的有效性和完整性,以及使用最新的安全最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值