如何将包含特殊字符（如单引号 、双引号 、反斜杠 \、百分号 、下划线 _ 等）的用户输入安全、正确地存入数据库，并从数据库中安全、正确地读取出来。

处理这个问题主要有两种方法,强烈推荐第一种。

使用 PreparedStatement (最佳实践、首选)

PreparedStatement 是 Java JDBC 提供的一个接口，它预编译 SQL 语句，并使用参数（ 占位符）来传递数据，这是防止 SQL 注入和处理特殊字符最安全、最标准的方法。

工作原理

1. SQL 预编译：数据库首先接收 SQL 语句模板（SELECT * FROM users WHERE username = ? AND password = ?），并对其进行语法分析和编译，形成一个执行计划。
2. 参数绑定：Java 代码将用户输入的数据作为参数传递给这个预编译好的语句，数据库驱动程序会负责将这些数据安全地转义和绑定到 占位符上。
3. 安全执行：由于用户输入的数据是作为数据处理，而不是 SQL 命令的一部分，所以即使输入包含 或 等特殊字符，也无法改变预编译的 SQL 结构，从而从根本上杜绝了 SQL 注入。

代码示例

假设我们要插入一个用户名,其中可能包含单引号，O'Reilly。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class JdbcSpecialCharactersExample {
    // 数据库连接信息 (请替换为你自己的)
    private static final String DB_URL = "jdbc:mysql://localhost:3306/your_database";
    private static final String USER = "your_username";
    private static final String PASS = "your_password";
    public static void main(String[] args) {
        String username = "O'Reilly"; // 这个名字包含特殊字符 '
        String email = "o'reilly@example.com";
        // SQL 语句模板，使用 ? 作为参数占位符
        String sql = "INSERT INTO users (username, email) VALUES (?, ?)";
        // 使用 try-with-resources 确保 Connection 和 PreparedStatement 被自动关闭
        try (Connection conn = DriverManager.getConnection(DB_URL, USER, PASS);
             PreparedStatement pstmt = conn.prepareStatement(sql)) {
            // 1. 设置参数 (索引从 1 开始)
            // pstmt.setString() 方法会自动处理特殊字符，' 会被转义为 \'
            pstmt.setString(1, username);
            pstmt.setString(2, email);
            // 2. 执行更新
            int affectedRows = pstmt.executeUpdate();
            if (affectedRows > 0) {
                System.out.println("用户 " + username + " 插入成功！");
            } else {
                System.out.println("插入失败。");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在数据库中实际执行的 SQL 语句（由驱动程序生成）可能是这样的：

INSERT INTO users (username, email) VALUES ('O\'Reilly', 'o\'reilly@example.com');

可以看到,单引号 被自动转义成了 \'，从而被正确地存储为一个字符串字面量，而不是 SQL 语法的一部分。

手动转义字符串 (不推荐，仅在万不得已时使用)

如果你因为某些特殊原因（动态构建表名或列名，这本身就不推荐）无法使用 PreparedStatement，那么你需要手动对字符串进行转义。

转义规则

对于 MySQL，特殊字符的转义规则如下：

• 单引号 () -> \'
• 双引号 () -> \"
• 反斜杠 (\) -> \\
• ASCII NUL (空字符) -> \\0
• 控制字符 -> \ 加上对应的字符

如何手动转义

1. 使用 String.replace() (简单但易错)

   
   （图片来源网络，侵删）

   这种方法比较繁琐,容易遗漏某些字符。

   String input = "O'Reilly";
   String escapedInput = input.replace("'", "\\'");
   System.out.println(escapedInput); // 输出: O\'Reilly

2. 使用 com.mysql.cj.util.StringUtils.escapeString() (推荐的手动方法)

   如果你使用的是 MySQL Connector/J 8.0+，可以使用官方提供的工具类。

   // 需要导入 mysql-connector-java 的包
   import com.mysql.cj.util.StringUtils;
   String input = "O'Reilly; DROP TABLE users; --";
   String escapedInput = StringUtils.escapeString(input);
   System.out.println(escapedInput);
   // 输出: O\'Reilly\; DROP TABLE users\; \--

3. 使用 Connection.nativeSQL() (可选)

   JDBC 的 Connection 对象有一个 nativeSQL() 方法，它可以尝试将带参数占位符的 SQL 转换成特定数据库的转义后 SQL，但这并不是标准做法，且不如直接使用 PreparedStatement 清晰。

手动转义的巨大风险

手动转义极易出错，并且不能完全防止 SQL 注入！ 它是一种“防御性编程”，而 PreparedStatement 是一种“结构性安全”方案。强烈建议你优先选择 PreparedStatement。

特殊字符的特殊处理：通配符 和 _

在 LIKE 查询中， 和 _ 是通配符，代表任意数量字符和单个字符，如果你想在 LIKE 查询中搜索字面量的 或 _，就需要对它们进行转义。

使用 PreparedStatement 处理 LIKE 查询

PreparedStatement 提供了 setString() 方法，但它默认不会转义 LIKE 的通配符，你需要手动处理。

import java.sql.*;
public class LikeQueryExample {
    public static void main(String[] args) {
        String searchTerm = "100%"; // 我们想搜索包含 "100%" 的字符串
        // SQL 模板
        String sql = "SELECT * FROM products WHERE description LIKE ?";
        try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/your_db", "user", "pass");
             PreparedStatement pstmt = conn.prepareStatement(sql)) {
            // 1. 手动转义 LIKE 查询中的通配符
            String escapedSearchTerm = searchTerm.replace("%", "\\%").replace("_", "\\_");
            // 2. 使用 ESCAPE 关键字指定转义字符，这里使用反斜杠 '\'
            // 我们需要将 '%' 和 '_' 转义为 '\%' 和 '\_'
            // 然后在 LIKE 子句中使用 ESCAPE '\'
            // 注意：这里我们把转义后的字符串放在 '%' 两边
            String finalPattern = "%" + escapedSearchTerm + "%";
            pstmt.setString(1, finalPattern);
            // 更完整的写法是：
            // String sqlWithEscape = "SELECT * FROM products WHERE description LIKE ? ESCAPE '\\'";
            // ... pstmt.setString(1, "%" + escapedSearchTerm + "%");
            System.out.println("执行的 SQL: " + pstmt.toString()); // 可以看到预编译的 SQL
            ResultSet rs = pstmt.executeQuery();
            // 处理结果集...
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

关键点：

1. 在将用户数据拼接到 LIKE 模式之前，手动将 和 _ 替换为 \% 和 \_。
2. 在 SQL 语句中使用 ESCAPE '\' 子句，告诉数据库引擎这里的反斜杠 \ 是一个转义字符，而不是普通字符。

总结与最佳实践

最终建议：

1. 永远优先使用 PreparedStatement，这是处理所有数据库交互（尤其是包含用户输入时）的黄金法则。
2. 对于 LIKE 查询，在使用 PreparedStatement 的基础上，记得手动转义用户输入中的 和 _，并在 SQL 中使用 ESCAPE 子句。
3. 绝对不要使用字符串拼接（ 号）的方式来构建 SQL 语句。
4. 保持你的 MySQL Connector/J 驱动程序为最新版本，以获得最新的安全修复和功能。