Ⅰ 請問java中用string拼SQL如何轉義單引號
用replaceAll替換v1,v2即可。具體寫法如下
v1=v1.replaceAll("'","''");
v2=v2.replaceAll("'","''");
就是把一個單引號替換成兩個單引號。
Ⅱ 如何在java語句中用sql命令引用java變數
int
uid=1;
String
sql="select
*
from
users
where
uid="+uid
樓上這個是整型變數
String
ss=「test」;
String
sql="select
*
from
users
where
uid="+「『ss』」就是了,先雙引號,後單引號,雙引號承接你前面sql語句里的雙引號,而單引號表示你的變數,記住只有是變數才有單引號,我給你舉個例,如果在mysql中使用函數now(),就應該這樣寫:
sql="select
*
from
users
where
date=」+「now()」;沒有單引號,
上面這三種在sql語句中加入其它符號的方式,你自己體會一下
Ⅲ JAVA方法,SQL語句模糊查詢
這問題很眼熟
也可以這樣:
String sql="select * from ARITCLE where type="+type+" and title like "++" and writer like "+writer+"";
改成
String sql="select * from ARITCLE where type="+type+" and title like '%"++"%' and writer like '%"+writer+"'%";
如果writer 這些參數是用戶輸入而且不經過處理的話
拼接字元串生成查詢語句,會使SQL注入攻擊變得相當容易