我有一个表测试(id,名称)。

我需要插入值,如:用户的日志,'我的用户',客户的。

 insert into test values (1,'user's log');
 insert into test values (2,''my users'');
 insert into test values (3,'customer's');

我得到一个错误,如果我运行上述任何语句。

如果有任何正确的方法,请分享。我不想要任何事先准备好的声明。

是否可以使用sql转义机制?


当前回答

根据PostgreSQL文档(4.1.2.1.;字符串常量):

若要在字符串常量中包含单引号字符,请写入 两个相邻的单引号,例如:“戴安的马”。

另请参阅standard_conforming_strings参数,该参数控制是否使用反斜杠进行转义。

其他回答

在postgresql中,如果你想插入带有' In it '的值,那么你必须给额外的'

 insert into test values (1,'user''s log');
 insert into test values (2,'''my users''');
 insert into test values (3,'customer''s');

当我使用Python在PostgreSQL中插入值时,我也遇到了一个问题:列“xxx”不存在。

我在wiki.postgresql中找到了原因:

PostgreSQL对此只使用单引号(即WHERE name = 'John')。双引号用于引用系统标识符;字段名,表名等(即WHERE "last name" = 'Smith')。 MySQL使用'(重音标记或反标记)来引用系统标识符,这显然是非标准的。

这意味着PostgreSQL只能对字段名、表名等使用单引号。所以你不能在值中使用单引号。

我的情况是:我想插入值“它是adj的sb和它是adj的sb的差异”到PostgreSQL。

我是如何解决这个问题的:

我把' with '和' with '替换掉。因为PostgreSQL的值不支持双引号。

所以我认为你可以使用以下代码来插入值:

 insert into test values (1,'user’s log');
 insert into test values (2,'my users');
 insert into test values (3,'customer’s');

根据PostgreSQL文档(4.1.2.1.;字符串常量):

若要在字符串常量中包含单引号字符,请写入 两个相邻的单引号,例如:“戴安的马”。

另请参阅standard_conforming_strings参数,该参数控制是否使用反斜杠进行转义。

如果你需要在Pg内部完成工作:

to_json(值)

https://www.postgresql.org/docs/9.3/static/functions-json.html#FUNCTIONS-JSON-TABLE

这是非常糟糕的情况,因为您的问题暗示您的应用程序中可能存在巨大的SQL注入漏洞。

您应该使用参数化语句。对于Java,使用带占位符的PreparedStatement。你说你不想使用参数化语句,但你没有解释为什么,坦率地说,这必须是一个很好的理由不使用它们,因为它们是解决你试图解决的问题的最简单、最安全的方法。

请参见防止Java中SQL注入。别成为鲍比的下一个受害者。

PgJDBC中没有用于字符串引用和转义的公共函数。这在一定程度上是因为它可能看起来是个好主意。

在PostgreSQL中有内置的引号函数quote_literal和quote_ident,但它们是用于使用EXECUTE的PL/PgSQL函数的。这些天quote_literal基本上被EXECUTE淘汰了…使用,这是参数化的版本,因为它更安全、更简单。您不能将它们用于这里解释的目的,因为它们是服务器端函数。


想象一下,如果您从恶意用户那里获得值');DROP SCHEMA public;——会发生什么。你会产生:

insert into test values (1,'');DROP SCHEMA public;--');

它分解为两个语句和一个被忽略的注释:

insert into test values (1,'');
DROP SCHEMA public;
--');

哎呀,这就是你的数据库。