Come sfuggire alla citazione singola in string letterale utilizzando MySQL da Java

Question

Ho una tabella MySql person_details che contiene p_id e p_name. Ora, se voglio inserire un record in cui p_name contiene una singola citazione ', mi piacerebbe eseguo in questo modo-

insert into person_details values (1, 'D\'souza');

Ora, io sto cercando di eseguire lo stesso attraverso un codice Java in questo modo -

insert into person_details values (1, 'D\\\'souza');

e ottengo MySQLSyntaxErrorException.

Qualcosa non va?

Answer 1

Per rispondere direttamente alla tua domanda, raddoppiare le virgolette.

insert into person_details values (1, 'D''souza'); 

Ma ho piuttosto parametrizzato la query utilizzando PreparedStatement.

Ecco i pro:

• evitano da SQL Injection
• non ha bisogno di utilizzare le virgolette singole.

esempio,

String str = "insert into person_details values (?, ?)"; 
query = con.prepareStatement(str); 
query.setInt(1, 1); 
query.setString(2, "D'souza"); 
query.executeUpdate(); 

• Using Prepared Statements

Answer 2

In MySQL, si utilizza '' per un singolo ' all'interno di una stringa:

insert into person_details values (1, 'D''souza'); 

Link to docs

Ma questo è solo per quando si sta fornendo i dati letteralmente, come ad esempio uno script SQL di controllare la validità -popola una tabella con i dati che controlli, ecc. Se stai ricevendo quella stringa da una fonte esterna (un utente finale, per esempio, o un sistema esterno) allora presumibilmente non starai scrivendo un letterale, ma piuttosto usando un variabile stringa. In tal caso, si desidera utilizzare istruzioni preparate come JW. describes in his answer. Perché: http://xkcd.com/327/

Answer 3

Si potrebbe anche usare "

insert into person_details values (1, "D'souza"); 

Answer 4

Perché non si utilizza PreparedStatements

Sarà anche prendersi cura di SQL Injections