Android кавычки в строке запроса SQL

Question

Android кавычки в строке запроса SQL

41

Я хочу выполнить следующий запрос:

uvalue = EditText( some user value );
p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
mDb.rawQuery( p_query, null );

если пользователь вводит одиночную кавычку в свой ввод, она сбрасывается. Если вы измените его на:

p_query = "select * from mytable where name_field = \"" +  uvalue + "\"" ;

он выходит из строя, если пользователь вводит двойную кавычку в свой ввод. и, конечно, они всегда могли вводить одиночные и двойные кавычки.

miannelle 18 авг. 2009, в 19:25

Источник

0

miannelle, ознакомьтесь со следующими вопросами: stackoverflow.com/questions/29699/… stackoverflow.com/questions/387198/…
Nick Dandoulakis 18 авг. 2009, в 20:27
3

miannelle: Вы должны пометить некоторые из ваших вопросов как «ответ»
Kurru 22 июнь 2011, в 13:27

Теги:

sqlite

android

6 ответов

Ещё вопросы

miannelle, ознакомьтесь со следующими вопросами: stackoverflow.com/questions/29699/… stackoverflow.com/questions/387198/…
miannelle: Вы должны пометить некоторые из ваших вопросов как «ответ»

Josef Pfleger · Answer 1 · 2009-08-18T22-04-00.000Z

119

Вы должны использовать параметр rawQuery selectionArgs:

p_query = "select * from mytable where name_field = ?";
mDb.rawQuery(p_query, new String[] { uvalue });

Это не только разрешает вашу проблему с кавычками, но также смягчает SQL Injection.

Josef Pfleger 18 авг. 2009, в 22:04

6

Я хотел бы изменить это не раз!
jrockway 18 авг. 2009, в 20:52
1

Это также намного быстрее, потому что Sqlite не должен анализировать каждый SQL-оператор.
tuinstoel 19 авг. 2009, в 20:33
20

Действительно, вы должны использовать аргументы запроса. Однако вы также можете использовать DatabaseUtils для экранирования строк, если это необходимо. Например, DatabaseUtils.sqlEscapeString (). Это не лучший способ, но он доступен. Может быть полезно, если вы пытаетесь передать необработанный оператор SQL чему-то внешнему.
lilbyrdie 22 авг. 2009, в 15:50
1

@lilbyrdie: спасибо! Поскольку нельзя связать векторы строк для использования с оператором IN, sqlEscapeSting () был именно тем, что мне было нужно!
Steve Pomeroy 13 янв. 2011, в 22:33
0

Это работает не так хорошо, как вы думаете. Если вы используете строку, подобную этой, она ломается: «образец» строки «которая разбивает вещи»
Christopher Perry 24 авг. 2012, в 03:20
0

Использование параметра selectionArgs не работает, когда знак вопроса находится внутри строки «LIKE» (например: SELECT * FROM Table WHERE столбец LIKE «%?%»). В этом случае вы должны использовать конкатенацию строк, а DatabaseUtils.sqlEscapeString - хорошая практика, чтобы избежать внедрения SQL.
caligari 05 сен. 2013, в 11:11

Показать ещё 4 комментария

Nikhil · Answer 2 · 2010-04-16T13-56-00.000Z

DatabaseUtils.sqlEscapeString работает правильно для меня. Строка заключена в одинарные кавычки, а одинарные кавычки внутри строки становятся двойными кавычками. Пробовал использовать selectionArgs в getContentResolver(). Query(), но он вообще не работал.

DatabaseUtils.sqlEscapeString заменяет один или два специальных символа, если необходимо заменить все специальные символы. Разве нет способа заменить указанные или все специальные символы?

Absar Alam · Answer 3 · 2017-01-30T14-40-00.000Z

Вы должны изменить

p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;

like

p_query = "select * from mytable where name_field = '" + android.database.DatabaseUtils.sqlEscapeString(uvalue)+ "'" ;

но вам нужно удалить кавычки, потому что они добавляются по умолчанию

Amt87 · Answer 4 · 2014-04-09T15-56-00.000Z

Я предпочитаю избегать одиночных кавычек и двойных кавычек в каждой инструкции вставки с помощью Sqlite следующим образом:

 String sqlite_stament = sqlite_stament.replace("'", "''").replace("\"", "\"\"");

gssi · Answer 5 · 2011-07-20T23-15-00.000Z

Вы пытались заменить одну кавычку на две одинарные кавычки? Это работает для ввода данных в базу данных.

Я бы предпочел использовать верхний ответ, но в моем случае это было невозможно сделать дизайн приложения. Это тоже работает

Nency · Answer 6 · 2012-10-19T08-53-00.000Z

У меня такая же проблема, но теперь она решается просто написанием кода, как в вашем случае вы хотите вставить значение uvalue. Затем напишите как

uvalue= EditText( some user value );
uvalue = uvalue.replaceAll("'", "''");
p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
mDb.rawQuery( p_query, null );

круто..!!

это глупо, вы заменяете «на», что все равно вызывает проблемы.
Возможно глупо, но у меня отлично работает. Спасибо
@stealthcopter Это не глупо, стандартный способ SQL избежать одной кавычки в строковом литерале - это удвоить его, чтобы '''' был строковым литералом SQL, который содержит одну одинарную кавычку. Экранирование строк для SQL вручную может быть не самой лучшей идеей, но в этом случае результат будет правильным.