这是非常糟糕的情况，因为您的问题暗示您的应用程序中可能存在巨大的SQL注入漏洞。

您应该使用参数化语句。对于Java，使用带占位符的PreparedStatement。你说你不想使用参数化语句，但你没有解释为什么，坦率地说，这必须是一个很好的理由不使用它们，因为它们是解决你试图解决的问题的最简单、最安全的方法。

请参见防止Java中SQL注入。别成为鲍比的下一个受害者。

PgJDBC中没有用于字符串引用和转义的公共函数。这在一定程度上是因为它可能看起来是个好主意。

在PostgreSQL中有内置的引号函数quote_literal和quote_ident，但它们是用于使用EXECUTE的PL/PgSQL函数的。这些天quote_literal基本上被EXECUTE淘汰了…使用，这是参数化的版本，因为它更安全、更简单。您不能将它们用于这里解释的目的，因为它们是服务器端函数。

想象一下，如果您从恶意用户那里获得值');DROP SCHEMA public;——会发生什么。你会产生:

insert into test values (1,'');DROP SCHEMA public;--');

它分解为两个语句和一个被忽略的注释:

insert into test values (1,'');
DROP SCHEMA public;
--');

哎呀，这就是你的数据库。

这是非常糟糕的情况，因为您的问题暗示您的应用程序中可能存在巨大的SQL注入漏洞。

您应该使用参数化语句。对于Java，使用带占位符的PreparedStatement。你说你不想使用参数化语句，但你没有解释为什么，坦率地说，这必须是一个很好的理由不使用它们，因为它们是解决你试图解决的问题的最简单、最安全的方法。

请参见防止Java中SQL注入。别成为鲍比的下一个受害者。

PgJDBC中没有用于字符串引用和转义的公共函数。这在一定程度上是因为它可能看起来是个好主意。

在PostgreSQL中有内置的引号函数quote_literal和quote_ident，但它们是用于使用EXECUTE的PL/PgSQL函数的。这些天quote_literal基本上被EXECUTE淘汰了…使用，这是参数化的版本，因为它更安全、更简单。您不能将它们用于这里解释的目的，因为它们是服务器端函数。

想象一下，如果您从恶意用户那里获得值');DROP SCHEMA public;——会发生什么。你会产生:

insert into test values (1,'');DROP SCHEMA public;--');

它分解为两个语句和一个被忽略的注释:

insert into test values (1,'');
DROP SCHEMA public;
--');

哎呀，这就是你的数据库。

在postgresql中，如果你想插入带有' In it '的值，那么你必须给额外的'

 insert into test values (1,'user''s log');
 insert into test values (2,'''my users''');
 insert into test values (3,'customer''s');

你可以使用postrgesql chr(int)函数:

insert into test values (2,'|| chr(39)||'my users'||chr(39)||');

根据PostgreSQL文档(4.1.2.1.;字符串常量):

若要在字符串常量中包含单引号字符，请写入 两个相邻的单引号，例如:“戴安的马”。

另请参阅standard_conforming_strings参数，该参数控制是否使用反斜杠进行转义。

如果你需要在Pg内部完成工作:

to_json(值)

https://www.postgresql.org/docs/9.3/static/functions-json.html#FUNCTIONS-JSON-TABLE