如何转义 Android 上 SQLite 中不支持的字符？

Question

任何人都可以告诉如何转义或替换不支持的字符，例如android中sqlite中的单引号任何人都可以举个例子

谢谢

Answer 1

您可以使用 commons-lang 实用程序，也可以使用正则表达式来处理它。

如果您正在构建动态 SQL，我建议尝试使用准备好的语句，这样就无需转义单引号。

仅使用使用字符串连接构建的动态 SQL：

String value = "one's self";
StringBuilder query= new StringBuilder();
query.append("insert into tname(foo) values (").append(value).append(")");
... execute call with query.toString() ...

将其更改为

String value = "one's self";
value= DatabaseUtils.sqlEscapeString(value);
StringBuilder query= new StringBuilder();
query.append("insert into tname(foo) values (").append(value).append(")");
... execute call with query.toString() ...

理想情况下，使用准备好的语句

String value = "one's self";
StringBuilder query= StringBuilder();
query.append("insert into tname(foo) values (?)");
SQLiteStatement stmt= db.compileStatement(query.toString());
stmt.bindString(1, value);
long rowId= stmt.executeInsert();
// do logic check for > -1 on success

这样您就不会遇到“SQL 注入攻击”。

请参阅 http://developer.android.com/reference/android/database /sqlite/SQLiteStatement.html 了解更多信息。

编辑
我做了更多挖掘，您可以使用 DatabaseUtils.sqlEscapeString(String) 转义字符串的内容，使其对于没有准备的完整 SQL 语句有效。

Answer 2

这些不是用一个简单的\完成的吗？因此，您的单引号将是 \'。

Answer 3

实际上，最简单的方法是将单引号（'）替换为两个单引号（''）。然后你的查询将变成：

insert into tname(foo) values ('one''s self');

解释：SQLite提倡使用单引号（'）而不是双引号（“）作为字符串分隔符，声称这是SQL标准所要求的（我无法 证实这一说法）。

SQLite 也与我所知道的所有其他 SQL 数据库不同，它使用 '' 而不是 \' ，再次声明 SQL 标准（我个人无法 与那个声称，因为我知道的所有其他 SQL 数据库都使用转义字符、反斜杠的 C 方式，即使它被编写为在 ISO 的 SQL 标准中的某处使用 ''，我相信最好修改该标准以使用 C 方式，因为在实践中，它已经是标准了。

请注意：

insert into tname(foo) values ('ones "self"');

是该逻辑的有效 sql 语句，并且不需要额外的转义。