Ⅰ 请问java中用string拼SQL如何转义单引号
用replaceAll替换v1,v2即可。具体写法如下
v1=v1.replaceAll("'","''");
v2=v2.replaceAll("'","''");
就是把一个单引号替换成两个单引号。
Ⅱ 如何在java语句中用sql命令引用java变量
int
uid=1;
String
sql="select
*
from
users
where
uid="+uid
楼上这个是整型变量
String
ss=“test”;
String
sql="select
*
from
users
where
uid="+“‘ss’”就是了,先双引号,后单引号,双引号承接你前面sql语句里的双引号,而单引号表示你的变量,记住只有是变量才有单引号,我给你举个例,如果在mysql中使用函数now(),就应该这样写:
sql="select
*
from
users
where
date=”+“now()”;没有单引号,
上面这三种在sql语句中加入其它符号的方式,你自己体会一下
Ⅲ JAVA方法,SQL语句模糊查询
这问题很眼熟
也可以这样:
String sql="select * from ARITCLE where type="+type+" and title like "++" and writer like "+writer+"";
改成
String sql="select * from ARITCLE where type="+type+" and title like '%"++"%' and writer like '%"+writer+"'%";
如果writer 这些参数是用户输入而且不经过处理的话
拼接字符串生成查询语句,会使SQL注入攻击变得相当容易