java 'と\'を置換してください

Question

私はmySQLを使っています。 'がデータベースに追加されている文字列に含まれている場合は処理できません。

私が試した：

replaceAll("'","\\'") 

と

replaceAll("'","\'") 

を任意のアイデア私は\'と'の交換については行くだろうか？

Answer 1

あなたは正規表現エンジンに一度、文字列処理エンジン用と1回、2回、バックスラッシュをエスケープする必要があります。

replaceAll("'","\\\\'") 

警告：これは文字列にバックスラッシュを挿入する方法についての質問に答える一方でSQLインジェクション攻撃を阻止しようとする試みには使用しないでください。

明確にする：アポストロフィーがすでにエスケープされている文字列を誰かが送信したとします。。この正規表現は、アポストロフィがエスケープされていないになります（これは、バックスラッシュがエスケープされるようになるためです）。実際には、この正規表現はバックスラッシュが偶数の場合にのみ、アポストロフィをエスケープする必要があります。これは、

replaceAll("(?<!\\\\)((?:\\\\\\\\)*)'", "$1\\\\'") 

のように急速に維持されなくなり、すべてのケースをカバーしていません。

Answer 2

これを処理するために文字列置換を使用しないでください。代わりに、プリペアドステートメントを使用しますので、JDBCドライバはあなたのためのパラメータをエスケープしてみましょう：

String sql = "select a.foo from a where a.bar = ?"; 
PreparedStatement stmt = connection.prepareStatement(sql); 
stmt.setString(1, aStringWhichMightContainQuotes); 
ResultSet rs = stmt.executeQuery(); 

これはつまり、SQLインジェクション攻撃に対して脆弱ではありません、データベースに依存しない、堅牢なコードを持っている適切な方法です。また、異なるパラメータで同じクエリを複数回実行すると、より効率的になります。

詳細については、JDBC tutorialを参照してください。