Question

我的应用程序目前使用SQLite数据库为用户存储消息。但是，如果用户在任何字段中输入撇号，则数据库崩溃。我意识到这个问题是由于SQLite使用撇号作为引用分隔符（我在存储的消息文本周围放置了单个撇号），但是想不出有什么好方法可以解决这个问题。在SQLite数据库中存储带撇号的字符串是否常见？

以下是我收到的错误示例：

java.lang.RuntimeException: Unable to resume activity {x.x.x.x/x.x.x.x.Main}: android.database.sqlite.SQLiteException: near "m": syntax error: , while compiling: SELECT title, contact_name, contact_number FROM contacts WHERE title='I'm at work'
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3128)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3143)
at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2684)
at android.app.ActivityThread.access$2300(ActivityThread.java:125)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:2033)
at android.os.Handler.dispatchMessage(Handler.java:99)
at android.os.Looper.loop(Looper.java:123)
at android.app.ActivityThread.main(ActivityThread.java:4627)
at java.lang.reflect.Method.invokeNative(Native Method)
at java.lang.reflect.Method.invoke(Method.java:521)
at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:859)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:617)
at dalvik.system.NativeStart.main(Native Method)
Caused by: android.database.sqlite.SQLiteException: near "m": syntax error: , while compiling: SELECT title, contact_name, contact_number FROM contacts WHERE title='I'm at work'
at android.database.sqlite.SQLiteCompiledSql.native_compile(Native Method)
at android.database.sqlite.SQLiteCompiledSql.compile(SQLiteCompiledSql.java:91)
at android.database.sqlite.SQLiteCompiledSql.<init>(SQLiteCompiledSql.java:64)
at android.database.sqlite.SQLiteProgram.<init>(SQLiteProgram.java:80)
at android.database.sqlite.SQLiteQuery.<init>(SQLiteQuery.java:46)
at android.database.sqlite.SQLiteDirectCursorDriver.query(SQLiteDirectCursorDriver.java:42)
at android.database.sqlite.SQLiteDatabase.rawQueryWithFactory(SQLiteDatabase.java:1454)
at android.database.sqlite.SQLiteDatabase.queryWithFactory(SQLiteDatabase.java:1338)
at android.database.sqlite.SQLiteDatabase.query(SQLiteDatabase.java:1293)
at android.database.sqlite.SQLiteDatabase.query(SQLiteDatabase.java:1373)
... 19 more

Answer 1

请参阅this问题 - 有很多答案可以帮助您。

具体来说，它讨论了使用DatabaseUtils.sqlEscapeString或：

uservalue = getText().tostring();
uservalue = uservalue.replace("'","\'");
//execute query...

Answer 2

通用数据库指南（以及安全编码指南）有助于防止这种情况发生，因为导致错误的相同内容可能会被用于SQL注入攻击。最常见的防御措施是（根据OWASP指南的优先顺序）：

使用parmeterized存储过程
如果数据库引擎支持参数化查询，请使用参数化查询。
作为最后的手段，转义字符串（依赖于数据库引擎的实现。）

SQLLite支持选项2和3。

从此页面：http://www.sqlite.org/lang_expr.html

通过将字符串括在单引号中形成字符串常量（'）。字符串中的单引号可以通过放置两个来编码连续单引号 - 如Pascal。不支持使用反斜杠字符的C样式转义，因为它们不是标准SQL。

因此O'Brien将在您的SQL语句中输入为O''Brien。

根据此页面，您可以使用参数化查询：http://www.sqlite.org/limits.html

INSERT INTO tab1 VALUES（？，？，？）;

然后使用sqlite3_bind_XXXX（）函数绑定大字符串   SQL语句的值。绑定的使用消除了对的需要   转义字符串中的引号字符，降低了SQL的风险   注射攻击。它也会因为大字符串而运行得更快   不需要被解析或复制。

Answer 3

一行最简单的代码：

String s = editText.getText().toString().replace("'","\'");

Answer 4

只需使用android标准API

userInput = android.database.DatabaseUtils.sqlEscapeString(userInput);

它将解决您的问题。

用户输入的撇号崩溃Android应用程序（与SQL相关）

4 个答案: