当PreparedStatement不起作用时，如何在JDBC中转义SQL参数？

Question

我有一个字符串，我想传递给SQL。为防止SQL注入和其他引用和转义问题，最佳做法是使用PreparedStatement和?。例如：

val ps = conn.prepareStatement("select * from foo where name = ?") 
ps.setString(1, name) 

但是对于某些SQL代码，这不起作用。例如，这里是PostgreSQL，试图创建一个视图。

val ps = conn.prepareStatement("create temp view v1 as select * from foo where name = ?") 
ps.setString(1, name) 
val rs = ps.execute() 

这将引发一个错误：

org.postgresql.util.PSQLException: ERROR: there is no parameter $1 

它显然不允许参数create view。你如何解决这个问题并且安全地逃离弦线？

Answer 1

准备语句用于计划一次复杂语句，然后使用不同参数值执行多次（=很多次）。简单的陈述没有使用准备好的陈述的显着好处，因为计划它们是微不足道的。 DDL语句根本不被支持，所以这很可能是错误的原因，尽管错误信息很混乱。

从documentation：

PREPARE name [ (data_type [, ...]) ] AS statement

statement
Any SELECT, INSERT, UPDATE, DELETE, or VALUES statement.

的PreparedStatement类完成，你可以在executeUpdate()方法使用DDL，但是从逻辑的角度来看，这只是无稽之谈，至少在PostgreSQL的文档。

相反，您应该使用Statement，然后调用​​或executeUpdate()（有点奇怪，后一种方法将支持DDL语句，因为没有正在执行更新）。

防止SQL注入

为了防止SQL注入，你可以使用一些PostgreSQL的功能：

• quote_literal() - 可以想见，这将引用一段文字的参数值在查询中是安全的。这不仅会阻止你从Bobby Tables，而且也阻止你从Mr. O'Brien。
• quote_nullable() - 对于上述文字，但会在参数IS NULL时生成正确的代码。
• quote_identifier() - 将双引号，可能导致问题的策划者，像列int，type和from表名from任何表或列名：SELECT int, type, from FROM from WHERE int = type成为SELECT "int", "type", "from" FROM "from" WHERE "int" = "type"。

您可以直接在SQL语句中使用这些函数，然后让PostgreSQL处理令人讨厌的输入。