sql查询字符串中的Android引号

Question

我想执行如下查询：

uvalue = EditText( some user value );
p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
mDb.rawQuery( p_query, null );

如果用户在输入中输入单引号，它会崩溃。如果您将其更改为：

p_query = "select * from mytable where name_field = \"" +  uvalue + "\"" ;

如果用户在输入中输入双引号，它会崩溃。 当然，他们总是可以同时输入单引号和双引号。

Answer 1

你应该使用rawQuery方法的selectionArgs参数：

p_query = "select * from mytable where name_field = ?";
mDb.rawQuery(p_query, new String[] { uvalue });

这不仅可以解决您的报价问题，还可以缓解SQL Injection。

Answer 2

DatabaseUtils.sqlEscapeString 对我来说工作正常。字符串用单引号括起来，字符串内的单引号变成双引号。 尝试在 getContentResolver().query() 中使用 selectionArgs 但它根本不起作用。

Answer 3

你应该改变

p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;

喜欢

p_query = "select * from mytable where name_field = '" + android.database.DatabaseUtils.sqlEscapeString(uvalue)+ "'" ;

Answer 4

您是否尝试过用 2 个单引号替换一个单引号？这适用于将数据输入数据库。

Answer 5

我更喜欢使用 Sqlite 在每个插入语句中转义单引号和双引号，如下所示：

 String sqlite_stament = sqlite_stament.replace("'", "''").replace("\"", "\"\"");

Answer 6

我有同样的问题，但现在只需编写如下代码即可解决 在您的情况下，您要插入值 uvalue 。然后写为

uvalue= EditText( some user value );
uvalue = uvalue.replaceAll("'", "''");
p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
mDb.rawQuery( p_query, null );

酷..!!