Как избежать специальных символов, таких как 'в sqlite в Android

Question

Как избежать специальных символов, таких как 'в sqlite в Android

36

У меня есть функция, которая выполняет запрос в таблице в базе данных SQLite. Я объявляю константу: public static final String CANADA_HISTORY = "Canada History";. Это сохраняется в переменной String, скажем, difficulty,

У меня есть один запрос:

Cursor c = mDb.rawQuery("select * from Questions_answers where CHAPTERS = '"+difficulty+"'" , null);

Он выдает исключение возле апострофа.

Выход Logcat:

I/Database( 1170): sqlite returned: error code = 1, msg = near "s": syntax error
D/AndroidRuntime( 1170): Shutting down VM
W/dalvikvm( 1170): threadid=1: thread exiting with uncaught exception (group=0x40015560)
E/AndroidRuntime( 1170): FATAL EXCEPTION: main
E/AndroidRuntime( 1170): android.database.sqlite.SQLiteException: near "s": syntax error: , while compiling: select * from Questions_answers where CHAPTERS  = 'Canada History'

Я также пробовал:

1.  difficulty=difficulty.replaceAll("'","''");
2.  difficulty=difficulty.replaceAll("'","\'");
3.  difficulty = DatabaseUtils.sqlEscapeString(difficulty);

Чтобы добавить к этому, он работает со мной для отдельных слов типа Canada History, я имею в виду без специального символьного слова.

Пожалуйста, дайте мне совет для решения проблемы. Спасибо.

Rahul Patel 27 сен. 2012, в 07:07

Источник

7

попробуйте использовать selectionArgs , например, для: rawQuery("select * from table where chapters = ?", new String[] { difficulty } );
Aprian 27 сен. 2012, в 06:14

Теги:

sqlite

android

special-characters

9 ответов

88

Стандарт SQL указывает, что одиночные кавычки в цепочках экранируются путем размещения двух одиночных кавычек в строке. SQL работает как язык программирования Pascal. SQLite следует этому стандарту. Пример:

INSERT INTO xyz VALUES('5 O''clock');

Ссылка: Часто задаваемые вопросы по SQLite

Pankaj Kumar 27 сен. 2012, в 07:21

8

это ужасно Используйте selectionArgs. не пытайтесь дезинфицировать входные данные sql самостоятельно.
njzk2 28 нояб. 2014, в 20:37
0

@ njzk2 Эй, спасибо за указание. Но было бы лучше, если бы вы добавили подробности о том, «почему это ужасно?». Это помогло бы другим пользователям :). Кстати, я не получил ваши очки здесь, потому что этот ответ был для экранирования специальных символов.
Pankaj Kumar 29 нояб. 2014, в 12:16
2

Этот вопрос нацелен на SQLite в Android. ОП спрашивает, как вводить такие символы, как ' в запросе. Правильный ответ состоит в том, чтобы использовать selectArgs , который оставляет работу по selectArgs / очистке / ... самому модулю SQLite, что он делает хорошо и всесторонне. То, что вы предлагаете, работает только для ' .
njzk2 30 нояб. 2014, в 02:18
1

Комментарии такого рода глупы. Нет абсолютно никакой причины, по которой кто-то не может успешно внедрить собственное средство для очистки строк. Это один из самых простых способов создания собственных методов для динамического построения запросов, что не так просто сделать с обработчиками аргументов.
joelc 27 июнь 2016, в 17:44
0

Мне нужно экспортировать результат объединения таблиц в текстовый файл, который я могу включить в браузер SQlite. Я добавляю в него несколько сотен строк и вуаля. Если это продезинфицировано мной, nog selectionArgs :)
Martijn 21 дек. 2016, в 10:43

Показать ещё 3 комментария

46

Лучший способ - использовать собственный метод Android, предназначенный именно для этой цели:

DatabaseUtils.sqlEscapeString(String)

Вот документация для него онлайн:

sqlEscapeString() для разработчиков Android

Основным преимуществом использования этого метода, на мой взгляд, является самодокументация из-за явного имени метода.

Richard Le Mesurier 22 нояб. 2014, в 20:35

4

После использования этой функции у меня возникли проблемы с запросами, поскольку она определенно окружает вашу строку одинарными кавычками, которые затем становятся частью вашей строки, и вы должны соответствующим образом адаптировать свои запросы или использовать другой метод для экранирования строк. Более подробная информация на stackoverflow.com/questions/31334723/…
Carsten Hagemann 13 нояб. 2015, в 00:41
0

да, испортил мои запросы тоже (
user25 06 фев. 2017, в 21:06
1

@ Задать этот вопрос относится к использованию необработанных строк запроса. По очевидным причинам вы не будете использовать его в сочетании с другими вспомогательными методами, они уже делают это внутри. Отсюда проблема, с которой вы и другой участник столкнулись.
Richard Le Mesurier 11 фев. 2017, в 06:15

Показать ещё 1 комментарий

26

Что сработало для меня, было

if (columnvalue.contains("'")) {
    columnvalue = columnvalue.replaceAll("'", "''");
}

Dhiraj Himani 10 июль 2014, в 11:26

1

Это сработало и для меня. Я также добавил нулевую проверку, прежде чем она станет безопасной. Я не могу поверить, что собственный метод GOOG DatabaseUtils.sqlEscapeString () такой мусор.
suomi35 17 июль 2014, в 16:43
0

String.replaceAll создает шаблон. Я не уверен , что это очень оптимальна только для замены '
rds 07 апр. 2015, в 15:20
0

только это сработало
user25 06 фев. 2017, в 21:06
0

Полезна ли проверка «содержит» для повышения производительности?
Carlos Liu 02 май 2017, в 09:33

Показать ещё 2 комментария

3

вы можете попробовать Cursor c = mDb.rawQuery("select * from Questions_answers where CHAPTERS = \""+difficulty+"\"" , null);

jaredzhang 27 сен. 2012, в 07:24

2

Это будет работать одинаково:

if (columnValue.contains("'")) 
    columnValue = columnValue.replaceAll("'", "[']");

или

if (columnValue.contains("'")) 
    columnValue = columnValue.replaceAll("'", "\\\'");

но в действительности мы используем следующие символы% и _

Michael Popovich 10 дек. 2015, в 13:18

1

Что DatabaseUtils.sqlEscapeString(s) по существу делает, заменяет все одинарные кавычки (') двумя одинарными кавычками ('') и добавляет одну одинарную цитату в начале и одну в конце строки.
Поэтому, если вы просто хотите избежать String, эта функция должна работать:

private static String escape(String s) {
    return s != null ? s.replaceAll("\'", "\'\'") : null;
}

Onno Eberhard 19 апр. 2017, в 10:09

0

В соответствии с моим пониманием есть два подхода:

String test = "Android vaersion" test = test.replace( "'", "' '" );

Этот сценарий абсолютно прекрасен, но я бы определенно предложил использовать следующий подход.

String test = "Android vaersion" test = test.replaceAll( "'", "\" );

Мы столкнулись с проблемой из-за первого подхода, когда мы пытались обновить и выбрать значение таблицы SQLite с помощью '.

Meghana Patil 17 фев. 2016, в 10:34

-2

Вам не нужно скрывать \, как? так что это будет replaceAll("'", "\\'") Или я ошибаюсь в этом?

Genia S. 27 сен. 2012, в 08:04

Ещё вопросы

попробуйте использовать selectionArgs , например, для: rawQuery("select * from table where chapters = ?", new String[] { difficulty } );
это ужасно Используйте selectionArgs. не пытайтесь дезинфицировать входные данные sql самостоятельно.
@ njzk2 Эй, спасибо за указание. Но было бы лучше, если бы вы добавили подробности о том, «почему это ужасно?». Это помогло бы другим пользователям :). Кстати, я не получил ваши очки здесь, потому что этот ответ был для экранирования специальных символов.
Этот вопрос нацелен на SQLite в Android. ОП спрашивает, как вводить такие символы, как ' в запросе. Правильный ответ состоит в том, чтобы использовать selectArgs , который оставляет работу по selectArgs / очистке / ... самому модулю SQLite, что он делает хорошо и всесторонне. То, что вы предлагаете, работает только для ' .
Комментарии такого рода глупы. Нет абсолютно никакой причины, по которой кто-то не может успешно внедрить собственное средство для очистки строк. Это один из самых простых способов создания собственных методов для динамического построения запросов, что не так просто сделать с обработчиками аргументов.
Мне нужно экспортировать результат объединения таблиц в текстовый файл, который я могу включить в браузер SQlite. Я добавляю в него несколько сотен строк и вуаля. Если это продезинфицировано мной, nog selectionArgs :)
После использования этой функции у меня возникли проблемы с запросами, поскольку она определенно окружает вашу строку одинарными кавычками, которые затем становятся частью вашей строки, и вы должны соответствующим образом адаптировать свои запросы или использовать другой метод для экранирования строк. Более подробная информация на stackoverflow.com/questions/31334723/…
@ Задать этот вопрос относится к использованию необработанных строк запроса. По очевидным причинам вы не будете использовать его в сочетании с другими вспомогательными методами, они уже делают это внутри. Отсюда проблема, с которой вы и другой участник столкнулись.
Это сработало и для меня. Я также добавил нулевую проверку, прежде чем она станет безопасной. Я не могу поверить, что собственный метод GOOG DatabaseUtils.sqlEscapeString () такой мусор.
String.replaceAll создает шаблон. Я не уверен , что это очень оптимальна только для замены '
Полезна ли проверка «содержит» для повышения производительности?

Chirag · Accepted Answer · 2012-09-27T06-20-00.000Z

Сначала замените символ этим

difficulty=difficulty.replaceAll("'","\\'");

затем передайте это в вашем запросе

"select * from Questions_answers where CHAPTERS='"+difficulty+"'";

Редактировать :

 q = "select * from Questions_answers where CHAPTERS = ?";
    database.rawQuery(q, new String[] { difficulty});

Редактирование выглядит нормально, но первая часть ответа явно неверна. "'" - это та же строка, что и "\'" (последняя является просто альтернативной нотацией для той же последовательности символов), поэтому оператор replace() фактически является тождественной функцией. Забавно, это принятый ответ.