Sto costruendo un comando di inserimento da eseguire usando jdbc. Parte di esso è quello di concatenare una stringa di user generated ... funziona tutto questo finché l'utente non utilizza una stringa come questa:Come evitare le virgolette singole per l'inserimento SQL ... quando la stringa da inserire è in una variabile generata dall'utente
a'bcd
String userString="a'bcd";
String insertTableSQL = "INSERT INTO myTable "
+ "(insertColumn) "
+ "VALUES("
+"'"+userString+"'"
+")";
statement.executeUpdate(insertTableSQL);
è necessario utilizzare paramters. – SLaks
https://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java – Donal