在 Java 中转义 MySQL 字符串...没有准备好的语句

【问题标题】:Escape MySQL strings in Java... without prepared statements在 Java 中转义 MySQL 字符串...没有准备好的语句
【发布时间】:2017-12-29 19:01:39
【问题描述】:

我正在寻找一种使用 Java 为 MySQL 查询转义字符串的方法。

但是等等,在你们中的一些人直接跳到“准备好的陈述”的结论之前,我想再解释一下。

问题是,我没有 MySQL 连接。我没有直接从 Java 执行任何 MySQL 查询。我对准备好的语句了解不多,但是AFAIK,准备好的语句需要实时连接才能工作。

我想让我的代码读入一堆 CSV/XLS 文件,获取数据,然后为 MySQL 生成一个巨大的 INSERT 查询。但是这个查询现在将存储在一个文本文件中。在有人开绿灯并将这个文本文件转储到数据库之前,它不会执行。

有没有一种简单的方法可以做到这一点,而无需使用过度的框架/库?谢谢你们。

【问题讨论】:

  • 这听起来像是一个奇怪的设置。如果您的代码不能直接访问数据库,为什么要创建 SQL 语句?更新 XML 并让代码访问数据库执行 SQL 操作难道还不够吗?
  • @TimothyTruckle 好吧,我不是将查询转储到数据库的人。将要运行查询的人可能知道也可能不知道 Java,她也可能知道也可能不太了解编码。她可能只是简单地复制查询并在一些 GUI SQL 程序中运行查询。或者...简单地说,我的任务是从大量 CSV 中提取所有数据并将数据转换为巨大的 INSERT 查询,Java 只是我选择的自动化工具。你有更好的主意吗?
  • Escaping SQL Strings in Java的可能重复
  • 这意味着你的问题是一个未定义/损坏的工作流程,你必须绕过一个被设计破坏的解决方案。我会尝试向我的客户出售一个连接到数据库的附加程序,最终用户可以将 XML 文件拖放到执行 SQL 的操作。
  • @OHGODSPIDERS 问题是......对于 MySQL,有两种转义特殊字符的样式 - 双字符样式和斜线样式。可能我只是写一个字符串操作方法并相应地添加斜杠?

标签: java mysql jdbc


【解决方案1】:

似乎没有任何现有的库/框架可以做这样的事情。所以我猜一个简单的String 操纵器会做吗? 

class xxx {

    private String escapeStringForMySQL(String s) {
        return s.replaceAll("\\", "\\\\")
                .replaceAll("\b","\\b")
                .replaceAll("\n","\\n")
                .replaceAll("\r", "\\r")
                .replaceAll("\t", "\\t")
                .replaceAll("\\x1A", "\\Z")
                .replaceAll("\\x00", "\\0")
                .replaceAll("'", "\\'")
                .replaceAll("\"", "\\\"");
    }

    private String escapeWildcardsForMySQL(String s) {
        return escapeStringForMySQL(s)
                .replaceAll("%", "\\%")
                .replaceAll("_","\\_");
    }

}

【讨论】:

  • replaceAll("\\", "\\\\") 抛出 java.util.regex.PatternSyntaxException: 索引 1 附近出现意外内部错误,因为 replaceAll 将参数解释为正则表达式,因此需要更多转义。这是正确的方法:replaceAll("\\\\", "\\\\\\\\") 否则,只需使用 replace("\\", "\\\\")。请参阅此处的讨论:stackoverflow.com/questions/1701839/…
【解决方案2】:

MySQL 可以使用指定的Special Character Escape Sequences

Escape Sequence Character Represented by Sequence
\0  An ASCII NUL (X'00') character
\'  A single quote (') character
\"  A double quote (") character
\b  A backspace character
\n  A newline (linefeed) character
\r  A carriage return character
\t  A tab character
\Z  ASCII 26 (Control+Z); see note following the table
\\  A backslash (\) character
\%  A % character; see note following the table
\_  A _ character; see note following the table

【讨论】:

  • 非常感谢。似乎没有任何现有的库/框架可以做这样的事情。我想我必须编写自己的方法来替换这些字符。
  • 派对迟到了,但正如 Mindas 在最近的回答中所说,OWASP's ESAPI 做到了。这是旧版本的GitHub repo,它实际上是维护的,也可以通过Maven Repo 获得。
【解决方案3】:

您可以使用专为此目的而设计的OWASP's ESAPI。它有 MySQL 编解码器。

【讨论】:

    【解决方案4】:

    试试StringEscapeUtils.escapeSql() 这将满足您的期望。

    【讨论】:

    • 此方法似乎已在 lang 3.7 中删除
    • 这个方法只是用双引号代替单引号,不建议
    【解决方案5】:

    我使用了 org.apache.commons.lang3.StringEscapeUtils.escapeHtml4(input);

    您可以在此处查看文档 String Escape Util (Commons Lang 3.1 API)

    public static final String escapeHtml4(String input) 转义 使用 HTML 实体的字符串中的字符。

    例如:

    “面包”和“黄油”

    变成:"bread" & "butter".

    支持所有已知的 HTML 4.0 实体,包括时髦的口音。笔记 常用的撇号转义字符 (') 不是 不支持法人实体等)。

    参数:input - 要转义的字符串,可以为 null 返回:一个新的 转义字符串,如果为空字符串输入则为空 3.0

    【讨论】:

      【解决方案6】: 
      package io.github.sinri.Keel.test.mysql;

public class MySQLTest {
    public static void main(String[] args) {
        StringBuilder sb=new StringBuilder();
        sb.append('\0').append('\'').append('"').append('\b').append('\n').append('\t').append('\r')
                .append(Character.toChars(26)).append('\\').append('_').append('%');

        String raw=sb.toString();
        System.out.println("raw: "+raw);
        System.out.println("escapeStringForMySQL: "+escapeStringForMySQL(raw));
        System.out.println("escapeWildcardsForMySQL: "+escapeWildcardsForMySQL(raw));

    }

    private static String escapeStringForMySQL(String s) {
        return s.replace("\\", "\\\\")
                .replace("\b","\\b")
                .replace("\n","\\n")
                .replace("\r", "\\r")
                .replace("\t", "\\t")
                .replace(new String(Character.toChars(26)), "\\Z")
                .replace(new String(Character.toChars(0)), "\\0")
                .replace("'", "\\'")
                .replace("\"", "\\\"");
    }

    private static String escapeWildcardsForMySQL(String s) {
        return escapeStringForMySQL(s)
                .replace("%", "\\%")
                .replace("_","\\_");
    }
}

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2021-03-27
        • 2012-07-12
        • 1970-01-01
        • 2012-12-18
        • 1970-01-01
        • 2023-03-18
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode