PostgreSQLで一重引用符付きのテキストを挿入する

473
MAHI 2012-09-08 01:11.

私はテーブルを持っていますtest(id,name)

私は次のように値を挿入する必要があります user's log'my user'customer's

 insert into test values (1,'user's log');
 insert into test values (2,''my users'');
 insert into test values (3,'customer's');

上記のステートメントのいずれかを実行すると、エラーが発生します。

これを正しく行う方法がある場合は、共有してください。プリペアドステートメントは必要ありません。

SQLエスケープメカニズムを使用することは可能ですか?

6 answers

830
Erwin Brandstetter 2012-09-08 05:06.

文字列リテラル

一重引用符'を2倍にしてエスケープする->''は標準的な方法であり、もちろん機能します。

'user's log'     -- incorrect syntax (unbalanced quote)
'user''s log'

古いバージョンstandard_conforming_strings = offでは、またはで実行している場合、または通常、文字列の前にPosixエスケープ文字列構文Eを宣言する場合は、バックスラッシュを使用してエスケープすることもできます。\

E'user\'s log'

バックスラッシュ自体は、別のバックスラッシュでエスケープされます。しかし、それは一般的には好ましくありません。
多くの単一引用符または複数のエスケープレイヤーを処理する必要がある場合は、PostgreSQLでドル引用符で囲まれた文字列を使用して地獄を引用することを回避できます

'escape '' with '''''
$$escape ' with ''$$

ドル相場間の混乱をさらに避けるために、各ペアに一意のトークンを追加します。

$token$escape ' with ''$token$

これは、任意の数のレベルをネストできます。

$token2$Inner string: $token1$escape ' with ''$token1$ is nested$token2$

$キャラクターがクライアントソフトウェアで特別な意味を持つ必要がある場合は注意してください。さらにそれを逃れる必要があるかもしれません。これは、psqlやpgAdminなどの標準のPostgreSQLクライアントには当てはまりません。

これはすべて、plpgsql関数またはアドホックSQLコマンドを作成するのに非常に役立ちます。ただし、ユーザー入力が可能な場合に、アプリケーションでのSQLインジェクションを防ぐために、プリペアドステートメントやその他の方法を使用する必要性を軽減することはできません。@Craigの答えはそれについてもっとあります。詳細:

Postgres内の値

データベース内の値を処理する場合、文字列を適切に引用するための便利な関数がいくつかあります。

  • quote_literal()またはquote_nullable()-後者NULLはnull入力用の文字列を出力します。(有効なSQL識別子を取得するために必要な場合は、文字列quote_ident()二重引用符で囲むこともできます。)
  • format()フォーマット指定子%Lを使用すると、と同等になりquote_nullable()ます。
    お気に入り:format('%L', string_var)
  • concat()またはconcat_ws()、ネストされた一重引用符と円記号をエスケープしないため、通常は適切ではありません
48
Craig Ringer 2012-09-08 01:36.

あなたの質問はおそらくアプリケーションにギャップのあるSQLインジェクションホールがあることを示唆しているので、これは非常に多くの悪い世界です。

パラメータ化されたステートメントを使用する必要があります。Javaの場合PreparedStatement、プレースホルダーとともに使用ます。パラメータ化されたステートメントを使用したくないと言いますが、その理由を説明していません。率直に言って、それらはあなたが試みている問題を修正するための最も簡単で安全な方法であるため、それらを使用しない非常に正当な理由でなければなりません。解決する。

JavaでのSQLインジェクションの防止を参照してください。ボビーの次の犠牲者にならないでください。

PgJDBCには、文字列の引用とエスケープのためのパブリック関数はありません。それはそれが良い考えのように見えるかもしれないという理由もあります。

あります組み込み関数を引用quote_literalし、quote_identPostgreSQLでは、彼らはのためにあるPL/PgSQL使用機能しますEXECUTE。最近では、パラメータquote_literal化されたバージョンEXECUTE ... USINGあるが、より安全簡単ため、ほとんど廃止されています。これらはサーバー側の機能であるため、ここで説明する目的には使用できません。


');DROP SCHEMA public;--悪意のあるユーザーから価値を得るとどうなるか想像してみてください。あなたが作り出すだろう:

insert into test values (1,'');DROP SCHEMA public;--');

これは、2つのステートメントと無視されるコメントに分解されます。

insert into test values (1,'');
DROP SCHEMA public;
--');

おっと、あなたのデータベースがあります。

30
Claudix 2012-09-08 01:23.

PostgreSQLのドキュメント(4.1.2.1。文字列定数)によると:

 To include a single-quote character within a string constant, write two 
 adjacent single quotes, e.g. 'Dianne''s horse'.

バックスラッシュを使用したエスケープが機能するかどうかを制御するstandard_conforming_stringsパラメーターも参照してください。

18
Hunter 2012-09-08 10:44.

postgresqlでは、値を挿入する場合は'、追加の値を指定する必要があります'

 insert into test values (1,'user''s log');
 insert into test values (2,'''my users''');
 insert into test values (3,'customer''s');
5
Slava Struminski 2017-12-30 00:00.

postrgesql chr(int)関数を使用できます。

insert into test values (2,'|| chr(39)||'my users'||chr(39)||');
2
hatenine 2017-12-19 07:01.

Pg内で作業を行う必要がある場合:

to_json(value)

https://www.postgresql.org/docs/9.3/static/functions-json.html#FUNCTIONS-JSON-TABLE

Related questions

MORE COOL STUFF

「水曜日」シーズン1の中心には大きなミステリーがあります

「水曜日」シーズン1の中心には大きなミステリーがあります

Netflixの「水曜日」は、典型的な10代のドラマ以上のものであり、実際、シーズン1にはその中心に大きなミステリーがあります.

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ケイト・ミドルトンは、州の夕食会と州の訪問中にカミラ・パーカー・ボウルズからスポットライトを奪いたくなかった、と専門家は言う.

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンが、オリビア・ワイルドが彼女とハリー・スタイルズとの間の「難しい」が「非常に友好的」な分割を恒久的にすることを望んでいる理由を見つけてください.

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンが舞台裏で「非常に困難な時期」を過ごしていたと伝えられている理由を調べてください.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セント ヘレナ島のジェイコブズ ラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

The Secrets of Airline Travel Quiz

The Secrets of Airline Travel Quiz

Air travel is far more than getting from point A to point B safely. How much do you know about the million little details that go into flying on airplanes?

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

パンデミックは終わったかもしれないが、Covid-19 は終わっていない

パンデミックは終わったかもしれないが、Covid-19 は終わっていない

2021 年 6 月 8 日にニューヨーク市で開催された covid-19 パンデミックで亡くなった人々の命を偲び、祝うために、ネーミング ザ ロスト メモリアルズが主催するイベントと行進の最中に、グリーンウッド墓地の正門から記念碑がぶら下がっています。週末、ジョー・バイデン大統領は、covid-19 パンデミックの終息を宣言しました。これは、過去 2 年以上にわたり、公の場でそうするための長い列の中で最新のものです。

デビル・イン・オハイオの予告編は、エミリー・デシャネルもオハイオにいることを明らかにしています

デビル・イン・オハイオの予告編は、エミリー・デシャネルもオハイオにいることを明らかにしています

オハイオ州のエミリー・デシャネル みんな早く来て、ボーンズが帰ってきた!まあ、ショーボーンズではなく、彼女を演じた俳優. エミリー・デシャネルに最後に会ってからしばらく経ちました.Emily Deschanel は、長期にわたるプロシージャルな Bones の Temperance “Bones” Brennan としてよく知られています。

ドナルド・トランプはFBIのマー・ア・ラーゴ襲撃映像をリリースする予定ですか?

ドナルド・トランプはFBIのマー・ア・ラーゴ襲撃映像をリリースする予定ですか?

どうやら、ドナルド・トランプに近い人々は、今月初めにFBIによって家宅捜索された彼のMar-a-Lago財産からの映像を公開するよう彼に勧めています. 前大統領はテープを公開するかどうかを確認していませんが、息子はフォックス・ニュースにそうなるだろうと語った.

Andor は、他の Star Wars ショーから大きな距離を置きます。

Andor は、他の Star Wars ショーから大きな距離を置きます。

アンドールの一場面。数十年前、ジョージ・ルーカスがスター・ウォーズのテレビ番組を制作するのを妨げた主な理由は、お金でした。

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、子供向けのパズルの本の序文を書き、ジョージ王子、シャーロット王女、ルイ王子と一緒にテキストを読むと述べた.

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

Yak's Produce は、数十個のつぶれたメロンを野生動物のリハビリ専門家であるレスリー グリーンと彼女のルイジアナ州の救助施設で暮らす 42 匹の動物に寄付しました。

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

8 枚目のスタジオ アルバムのリリースに向けて準備を進めているデミ ロヴァートは、「スーパー グレート ガイ」と付き合っている、と情報筋は PEOPLE に確認しています。

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

イーサン プラスの誕生日のお祝いは、TLC のウェルカム トゥ プラスビルのシーズン 4 のフィナーレで、戦争中の母親のキム プラスと妻のオリビア プラスを結びつけました。

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

ホームオフィスのセットアップ術を極めよう!AppExert の開発者は、家族全員が一緒にいる場合でも、在宅勤務の技術を習得しています。祖父や曽祖父が共同家族で暮らしていた頃の記憶がよみがえりました。

2022 年、私たちのデジタル ライフはどこで終わり、「リアル ライフ」はどこから始まるのでしょうか?

20 年前のタイムトラベラーでさえ、日常生活におけるデジタルおよびインターネットベースのサービスの重要性に驚くことでしょう。MySpace、eBay、Napster などのプラットフォームは、高速化に焦点を合わせた世界がどのようなものになるかを示してくれました。

ニューロマーケティングの秘密科学

ニューロマーケティングの秘密科学

マーケティング担当者が人間の欲望を操作するために使用する、最先端の (気味が悪いと言う人もいます) メソッドを探ります。カートをいっぱいにして 3 桁の領収書を持って店を出る前に、ほんの数点の商品を買いに行ったことはありませんか? あなたは一人じゃない。

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

私たちが住んでいる世界を確実に理解するには、データが必要です。ただし、空間参照がない場合、このデータは地理的コンテキストがないと役に立たなくなる可能性があります。

Language