那些遇到过的问题

是否有一个标准函数用于在Java中将字符串转换为sql友好字符串?

roc*_*kit 1 java sql

可能重复:
Java - 转义字符串以防止SQL注入

你好.

当sql查询包含用户编写的字符串(包括'$%&)等随机字符时,我一直在向我的数据库提交sql查询时遇到愚蠢的小问题.

是否有标准函数可以将用户文本转换为Java的sql友好文本?

谢谢

Eti*_*tel 7

以下建议适用于任何语言或框架:不要通过连接字符串来编写查询,这是不安全的.请改用参数化查询.

在Java中,参数化查询是使用PreparedStatement编写的.例如:

PreparedStatement stmt = connection.prepareStatement("SELECT * FROM whatever WHERE id = ? AND name= ?");
stmt.setInt(1, 1000); // parameters starts at 1
stmt.setString(2, "'$%&");
ResultSet rs = stmt.executeQuery();
// ...
Run Code Online (Sandbox Code Playgroud)

更多细节:http: //download.oracle.com/javase/tutorial/jdbc/basics/prepared.html

另请参阅PreparedStatement的文档:http: //download.oracle.com/javase/1.4.2/docs/api/java/sql/PreparedStatement.html

归档时间:

查看次数:

293 次

最近记录:

15 年,1 月 前
Java - 转义字符串以防止SQL注入 142
Java - 转义字符串以防止SQL注入 142
更多相关链接
相关归档
如何在Android中以编程方式设置背景可绘制 263
AssertEquals 2列表忽略顺序 65
Eclipse显示错误,但我找不到它们 63
在为每个使用时识别最后一个循环 48
如何在Postgres中检查数组是否为空 31
如何将字符串转换为安全的SQL字符串? 24
在SQL中如何获取整数的最大值? 23
SQL Server的端口号 11
关于SQL Server 2008全文搜索的问题 11
对SQL Server中的INSERT语句中指定的列忽略表别名 11
难疑归档
如何正确克隆JavaScript对象? 2922
如何在Java中将String转换为int? 2882
提高SQLite的每秒INSERT性能? 2880
确定已安装的PowerShell版本 2543
如何使用jQuery刷新页面? 2361
.prop()vs .attr() 2249
使用JavaScript在新选项卡(而不是新窗口)中打开URL 1941
使当前的Git分支成为主分支 1555
从客户端检测到潜在危险的Request.Form值 1437
如果我已经开始使用rebase,如何将两个提交合并为一个? 1111