Comment échapper les guillemets simples pour SQL insert...lorsque la chaîne de caractères à insérer dans un générées par l'utilisateur variable

Je suis la construction d'un insert de commande à exécuter à l'aide de jdbc. Elle est en partie pour concaténer une générées par l'utilisateur de la chaîne...tout cela fonctionne jusqu'à ce que l'utilisateur utilise une chaîne comme ceci:

un'bcd

String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
                            + "(insertColumn) " 
                            + "VALUES("
                                +"'"+userString+"'"
                                +")";

statement.executeUpdate(insertTableSQL);
Vous devez utiliser les paramètres.
owasp.org/index.php/Preventing_SQL_Injection_in_Java

OriginalL'auteur user947659 | 2014-10-13

  1. 37

    Vous pouvez le faire ci-dessous:

    1. Utiliser le PreparedStatement classe. (Recommandé)

      String userString="a'bcd";
String myStatement = " INSERT INTO MYTABLE (INSERTCOLUMN) VALUES (?)";
PreparedStatement statement= con.prepareStatement   (myStatement );
statement.setString(1,userString);
statement.executeUpdate();

    2. Échapper les guillemets simples.

      En SQL, les guillemets simples seront échappés par l'utilisation de double guillemets simples. ' --> ''

      String userString="a'bcd";
String changedUserString = userString.replace("'","''");
        //changedUserString  = a''bcd
String insertTableSQL = "INSERT INTO myTable (insertColumn) VALUES("
                        +" '"+changedUserString +"' )";

    OriginalL'auteur Nishanthi Grashia

  2. 6

    Vous pouvez utiliser StringEscapeUtils de la Apache Commons Lang de la bibliothèque.
    En utilisant cela, vous pouvez échapper les caractères de l'html, du xml, sql, etc. Regarder pour la méthode escapeXXX pour votre but. Pour référence: Quand j'en ai besoin pour échapper à la chaîne Html?

    remarque: escapeSql a été supprimé dans Apache Commons Lang 3 (voir La Migration StringEscapeUtils.escapeSql de communes.lang les références https://commons.apache.org/proper/commons-lang/article3_0.html#StringEscapeUtils.escapeSql)

    Par exemple:

    String str = FileUtils.readFileToString(new File("input.txt"));
        String results = StringEscapeUtils.escapeHtml(str);
        System.out.println(results);

    D'entrée:

    <sometext>
Here is some "Text" that I'd like to be "escaped" for HTML
& here is some Swedish: Tack. Vars?god.
</sometext>

    De sortie:

    &lt;sometext&gt;
Here is some &quot;Text&quot; that I'd like to be &quot;escaped&quot; for HTML
&amp; here is some Swedish: Tack. Vars&aring;god.
&lt;/sometext&gt;
    Dans StringEscapeUtils documentationfor pour escapeSQL: "À l'heure actuelle, cette méthode ne tourne que des guillemets simples dans a doublé des simples guillemets"
    StringEscapeUtils.escapeSql est amortis.
    Cette approche ne fonctionne que si vous avez l'intention d'utiliser l'entrée comme la sortie HTML plus tard. À propos de la dépréciation de la v3.6 de commons-lang est toujours là et fonctionne très bien avec org.apache.commons.texte.StringEscapeUtils.

    OriginalL'auteur Divya

  3. 0

    Voici une autre possibilité:

    Utiliser un natif Android méthode conçue pour exactement cet effet:

    DatabaseUtils.sqlEscapeString(String)

    Voici la documentation en ligne:

    Le principal avantage de l'utilisation de cette méthode, à mon avis, est l'auto-documentation, car le nom de la méthode.

    String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
                            + "(insertColumn) " 
                            + "VALUES("
                                +"'"+DatabaseUtils.sqlEscapeString(userString)+"'"
                                +")";

statement.executeUpdate(insertTableSQL);

    OriginalL'auteur leoneboaventura