elasticsearch jdbc river中,如果sql参数中语句中包含了单引号,那么会执行的时候会默认去掉,如何解决

 我来答
匿名用户
2016-06-23
展开全部
这是因为以前用Statement对象查询数据的系统容易被人SQL注入攻击。简单的一个例子:登陆.从登陆框中传过来两个参数.正常情况下、假设是aabbselect*fromtbl_userwhereuname='aa'andupass='bb'然后有些会sql的人就想到了在参数后面加些其他的东西比如在bb'or'a'='a或者;DELETEFROMtbl_userWHERE1>0之类的这样SQL语句就变成:select*fromtbl_userwhereuname='aa'andupass='bb'or'a'='a'这样的语句是不安全的。后来就出现PreparedStatement对象的?占位符,通过给?设值,可以把传过来的参数当成普通的字符串,包括单引号。这样就避免了一些灾难。
sunguichun2003
2016-06-22 · TA获得超过752个赞
知道小有建树答主
回答量:754
采纳率:0%
帮助的人:513万
展开全部
用"\"来转义
追问
用了,没什么效果
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 1条折叠回答
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式