我有以下查询:
select *from activo where id_oficina in(22,23) and id categoría = 'in(1,2)'
如何删除“=”字符和单引号?
我正在使用kendo Ui,我不知道可以手动删除什么。
答案 0 :(得分:1)
对剑道一无所知,但似乎你正试图进入(1,2)'在一个字段中,然后将其替换为查询语句,而不是仅输入单个值。
首先,应该使用JDBC绑定变量,不知何故,通过执行字符串连接而创建的任何SQL语句都已成熟,带有安全漏洞。 App Programming Guide for iOS
其次,您不能以与单个值相同的方式绑定IN的值。现在,您可以始终拥有IN子句,有时您只会绑定一个值。这已经解决过了: https://www.owasp.org/index.php/Top_10_2013-A1-Injection
答案 1 :(得分:0)
@Andy Turner建议的replaceAll工作:
String string = "select *from activo where id_oficina in(22,23) and id categoría = 'in(1,2)'";
string = string.replaceAll("[=']", "");
System.out.println(string);