Comment échapper les apostrophes en Java

Version imprimable

j'ai un champ varchar qui peut contenir des apostrophes alors l'instruction SQL me retourne une exception

Citation:

jdbc4.MySQLSyntaxErrorException:

code d'insertion

Code:

1
2
3
4
5
6
7
8
9
10
11
String query = "INSERT INTO article (titre,article,image,matricule_auteur,code_domaine_domaine,num_mag_magazine) VALUES (?,?,?,?,?,?)";			
		try (PreparedStatement stat = cnx.prepareStatement(query)){
 
			stat.setString(1,titre);
			stat.setString(2,article);
			stat.setBinaryStream(3, fis);
			stat.setInt(4,auteur);
			stat.setInt(5,domaine);
			stat.setInt(6,mag);
 
			stat.executeUpdate();

code modifiaction

Code:

1
2
3
4
5
6
7
8
9
10
 
String query = "UPDATE article set titre='"+txtTitre.getText()+"',"
						+ "article='"+txtArticle.getText()+"',"
								+ "image="+fis+","
										+ "code_domaine_domaine="+codeDom+","
												+ "num_mag_magazine="+cmbMag.getSelectedItem().toString()+","
														+ "matricule_auteur="+mat+" WHERE n_article="+numArt;	
 
			stat = cnx.prepareStatement(query);
			stat.executeUpdate();

12/04/2016, 11h34
kolodz

Ta requête d'insertion me semble correcte avec du databinging pour éviter le problème en question.
Cependant, ta requête d'update n’utilise pas le databinging et et donc semble à ce problème. Pourquoi ne fait tu pas la même chose sur celle-ci ?

Cordialement,
Patrick Kolodziejczyk.
12/04/2016, 11h49
OButterlin

Pareil...

Il faut utiliser les PreparedStatement, non seulement tu éviteras ces problèmes mais en plus tu éviteras le risque d'injection.
12/04/2016, 15h17
Hind4Dev

merci , c'était le prepared statement qu'il fallait