我正在尝试在我的SQL数据库中搜索条目,但每当我在搜索栏中输入单个引号并运行它时,我都会收到错误消息。当我键入特定名称时,它将从数据库中返回正确的条目。我已经读过使用'',转义和使用准备好的陈述,但要么没有一个答案适合我的情况,要么我不理解某些概念。 (我是初学者)提前致谢! :)
下面是我的jsp文件的代码,我运行时的样子,以及插入单引号时会发生什么。
<%@page import="java.sql.*"%>
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<!DOCTYPE html >
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>List of Entries</title>
</head>
<body>
<h1>Retrieve Data</h1>
<form method="post" action="index.jsp">
Search <input type="text" name="search"
placeholder="Enter your search here..." />
<input type="submit"
value="Search" name="submit"/>
</form><br><br>
<%
Connection con = null;
Statement stmt = null;
ResultSet rs = null;
ResultSet rs2 = null;
try {
String searchReq = request.getParameter("search");
try {
Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
//make connection to db
con = DriverManager.getConnection(
"jdbc:mysql://localhost:3306/profile", "root", "");
//create a statement
stmt = con.createStatement();
//executes SQL query
rs = stmt.executeQuery("SELECT * FROM person WHERE Name LIKE '%"+ searchReq +"%'");
%>
<table border="1">
<tr>
<td><b>Name</b></td>
<td><b>Birthday</b></td>
<td><b>Address</b></td>
<td><b>Gender</b></td>
<td><b>School</b></td>
</tr>
<%
try {
while (rs.next()) {
%>
<tr>
<td><%=rs.getString("Name")%></td>
<td><%=rs.getString("Birthday")%></td>
<td><%=rs.getString("Address")%></td>
<td><%=rs.getString("Gender")%></td>
<td><%=rs.getString("School")%></td>
</tr>
<%
}
} catch (Exception e) {
e.printStackTrace();
}
%>
</table>
<%
}
catch (Exception e) {
e.printStackTrace();
}
finally {
rs.close();
stmt.close();
con.close();
}
%>
</body>
</html>
答案 0 :(得分:2)
你的主要问题在于:
"SELECT * FROM person WHERE Name LIKE '%"+ searchReq +"%'"
当变量searchReq包含单引号时,您将创建SQL查询:
SELECT * FROM person WHERE Name LIKE '%'%'
^ sql engine consider this as end of string literal
当数据库尝试解析此查询时,它会找到正确的部分SELECT * FROM person WHERE Name LIKE '%',然后使一个%'无效
这与纯java相同,如果你想在里面用"声明字符串,如果你尝试:
String s = "my string with " quote";
^ java considers this as end of string literal
你会得到语法错误信息,你需要转义这样的符号,对于java来说它是\"
因此,要解决此问题,您需要使用参数查询,或检查sql standard:
&lt;字符表示&gt; :: =&lt;非引号字符&gt; | &lt; quote symbol&gt;
&lt; quote symbol&gt; :: =&lt; quote&gt;&lt; quote&gt;
因此,单引号应作为双引号''
所以,如果你只用'替换所有'' - 你将摆脱sql注入并修复失败的查询。
最简单的方法是searchReq = searchReq.replaceAll("'", "''");
但是,sql operator LIKE还有2个特殊符号%和_
如果&lt;转义字符&gt;未指定,则每个&lt;下划线&gt; P中的字符表示任意字符说明符,每个&lt;%&gt; P中的字符表示任意字符串说明符,P中的每个字符都不是&lt;下划线&gt;字符也不是&lt; percent&gt;角色代表自己。
如果用户输入这些符号,请考虑您的查询会找到什么?
提示:看看标准:
&lt; like predicate&gt; :: =&lt;匹配值&gt; [NOT] LIKE&lt; pattern&gt; [ESCAPE&lt;转义字符&gt; ]