问题
当使用${}写sql时,如果输入的字段中含有单引号,就会发生sql注入,改变原有的sql逻辑,应该如何处理呢?
解决
将单引号,替换为两个单引号即可。
String regexp = "\'";
str.replaceAll(regexp, "\'\'");
当使用${}写sql时,如果输入的字段中含有单引号,就会发生sql注入,改变原有的sql逻辑,应该如何处理呢?
将单引号,替换为两个单引号即可。
String regexp = "\'";
str.replaceAll(regexp, "\'\'");