Java 转义字符全解析从基础语法到安全编码实践(最新推荐)

更新时间：2025年10月30日 10:31:15 作者：Python私教

本文详细介绍了Java中的转义字符,包括基础转义序列、Unicode转义、Java 15的文本块特性以及在正则表达式和安全编码中的应用,通过实例和最佳实践,帮助开发者正确使用转义字符,提高代码的正确性和安全性,感兴趣的朋友跟随小编一起看看吧

一、什么是转义字符？

转义字符是以反斜杠 \ 开头的特殊字符序列，用于表示那些无法直接输入或具有特殊含义的字符。

例如：

换行符无法在字符串中直接“换行”，需用 \n 表示
双引号 " 在字符串中会提前结束字符串，需用 \" 转义

Java 编译器在编译期就会将这些转义序列转换为对应的字符或字节。

二、Java 标准转义序列（共 8 种）

转义序列	含义	ASCII/Unicode	示例输出
`\b`	退格（Backspace）	U+0008	删除前一个字符
`\t`	水平制表符	U+0009	→
`\n`	换行（Line Feed）	U+000A	新起一行
`\f`	换页（Form Feed）	U+000C	打印机换页
`\r`	回车（Carriage Return）	U+000D	光标回到行首
`\"`	双引号	U+0022	"
`\'`	单引号	U+0027	’
`\\`	反斜杠本身	U+005C	\

✅ 正确使用示例：

public class EscapeDemo {
    public static void main(String[] args) {
        // 包含双引号的字符串
        String quote = "他说道：\"Java 很强大！\"";
        System.out.println(quote); // 输出：他说道："Java 很强大！"
        // 多行文本（模拟）
        String poem = "床前明月光，\n疑是地上霜。\n举头望明月，\n低头思故乡。";
        System.out.println(poem);
        // 文件路径（Windows）
        String path = "C:\\Users\\Admin\\Documents\\file.txt";
        System.out.println(path); // C:\Users\Admin\Documents\file.txt
    }
}

💡 提示：从 Java 15 开始，可使用文本块（Text Blocks） 避免大量 \n 和引号转义（后文详述）。

三、Unicode 转义：\uXXXX

Java 支持通过 \u 后跟 4 位十六进制数 表示任意 Unicode 字符。

char copyright = '\u00A9'; // ©
char euro = '\u20AC';      // €
String heart = "\u2764";   // ❤
// 甚至可以写关键字！（不推荐）
\u0069\u006e\u0074 a = 10; // 等价于 int a = 10;

⚠️ 危险特性：Unicode 转义在词法分析阶段就被处理，早于语法解析。这意味着你可以在注释中“隐藏”代码：

// 这行看似注释，实则包含代码：\u000d\u0069\u006e\u0074 \u0061\u003b

上述 \u000d 是回车符，会导致下一行被当作代码执行！切勿在不可信代码中使用。

四、Java 15+ 新特性：文本块（Text Blocks）

为解决多行字符串转义繁琐问题，Java 15 引入 文本块（JEP 378）：

String html = """
    <html>
      <body>
        <p>你好，世界！</p>
      </body>
    </html>
    """;
String json = """
    {
      "name": "张三",
      "age": 25
    }
    """;

文本块中的转义规则：

默认保留换行和空格
可使用 \ 连接行（避免换行）
仍需转义 "（但无需每行都加）
支持 \s 表示空格（防止自动去除尾随空格）

String sql = """
    SELECT id, name \
    FROM users \
    WHERE active = true
    """;
// 结果为单行：SELECT id, name FROM users WHERE active = true

✅ 推荐：处理 JSON、HTML、SQL、正则等多行文本时，优先使用文本块。

五、正则表达式中的“双重转义”陷阱

在 Java 中使用正则表达式时，需要双重转义！

原因：

Java 字符串字面量先进行一次转义
正则引擎再进行一次解析

示例：匹配一个反斜杠\

正则表达式本身需要写成 \\（因为 \ 是正则元字符）
但在 Java 字符串中，每个 \ 都要写成 \\
最终代码："\\\\"

// 匹配 Windows 路径中的反斜杠
String path = "C:\\Users\\John";
boolean hasBackslash = path.matches(".*\\\\.*"); // true
// 匹配数字：\d 在正则中是元字符，Java 中需写为 "\\d"
String text = "123";
boolean isDigit = text.matches("\\d+"); // true

🔍 技巧：使用 Pattern.compile() + 原始字符串思维，或改用 String::replaceAll 时注意转义。

六、安全编码中的转义：防止注入攻击

转义不仅是语法需求，更是安全防线。

1. SQL 注入防护（不要手动拼接！）

❌ 危险做法：

String query = "SELECT * FROM users WHERE name = '" + userInput + "'";
// 若 userInput = "'; DROP TABLE users; --"，后果严重！

✅ 正确做法：使用 PreparedStatement

String sql = "SELECT * FROM users WHERE name = ?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, userInput); // JDBC 自动转义

2. HTML 转义（防 XSS）

用户输入直接输出到网页可能执行恶意脚本：

// 危险！
String output = "<div>" + userInput + "</div>";
// 安全：转义 <, >, &, ", '
String safeOutput = "<div>" + 
    userInput.replace("&", "&")
            .replace("<", "<")
            .replace(">", ">")
            .replace("\"", "&quot;")
            .replace("'", "&#x27;") + 
    "</div>";

✅ 推荐使用专业库：OWASP Java Encoder

import org.owasp.encoder.Encode;
String safe = Encode.forHtml(userInput);

3. JSON 转义

手动拼接 JSON 极易出错：

// 危险！若 name 包含 " 或 \，JSON 会损坏
String json = "{\"name\":\"" + name + "\"}";
// 正确：使用 Jackson / Gson
ObjectMapper mapper = new ObjectMapper();
String json = mapper.writeValueAsString(user);

七、常见陷阱与最佳实践

❌ 陷阱 1：混淆\r\n与\n

Windows 换行：\r\n
Unix/Linux/macOS：\n
Java 中 \n 会被自动转换为目标平台换行符（通过 System.lineSeparator() 获取）

❌ 陷阱 2：在char中使用多字符转义

char c = '\n'; // OK
char c = '\u0041'; // OK ('A')
char c = '\abc'; // 编译错误！无效转义

✅ 最佳实践清单：

永远不要手动拼接 SQL、HTML、JSON，使用参数化或模板引擎
显式指定编码：getBytes(StandardCharsets.UTF_8)
多行文本用文本块（Text Blocks）
正则表达式使用原始字符串思维，注意双重转义
用户输入一律视为“危险”，输出前必须转义
避免使用 Unicode 转义写代码逻辑（可读性差且有安全隐患）

八、结语：转义，是细节，更是态度

转义字符看似微不足道，却贯穿于 Java 开发的每一个角落——从最简单的 println 到最复杂的 Web 安全防护。

掌握它，你不仅能写出正确运行的代码，更能构建安全可靠的系统。

“优秀的程序员，既关注宏大的架构，也敬畏微小的细节。”
—— 而转义字符，正是那颗不容忽视的螺丝钉。

互动讨论：
你在项目中是否因转义问题导致过线上故障？欢迎在评论区分享你的“血泪史”与解决方案！

到此这篇关于Java 转义字符全解析：从基础语法到安全编码实践的文章就介绍到这了,更多相关Java 转义字符内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

深度解析Java中的国际化底层类ResourceBundle
做项目应该都会实现国际化，那么大家知道Java底层是如何实现国际化的吗？这篇文章就来和大家深度解析一下Java中的国际化底层类ResourceBundle，希望对大家有所帮助
2023-03-03
IDEA连接MySQL提示serverTimezone的问题及解决方法
很多朋友私聊小编，使用IDEA软件连接MySQL数据库时总是提示Server returns invalid timezone. Go to 'Advanced' tab and set 'serverTimezone' property manually.的错误，小编就不一一回复大家了，下面小编把我的解决方法分享到脚本之家平台，需要的朋友参考下吧
2021-05-05
Java中的拦截器、过滤器、监听器用法详解
这篇文章主要介绍了Java中的拦截器、过滤器、监听器用法,详细分析了Java拦截器、过滤器、监听器的功能、使用方法及相关注意事项,需要的朋友可以参考下
2017-05-05
Arrays.asList方法总结
本文主要对Arrays.asList方法进行总结。具有很好的参考价值，下面跟着小编一起来看下吧
2017-02-02
JAVA设计模式----建造者模式详解
这篇文章主要为大家详细介绍了java实现建造者模式Builder Pattern，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2021-09-09
Java转义字符详细介绍
这篇文章主要介绍了Java转义字符的相关资料,包括换行符、回车符、换页符、退格符、空字符、空格、制表符、单引号、双引号、反斜杠以及八进制和十六进制字符,通过代码介绍的非常详细,需要的朋友可以参考下
2024-12-12
运行时常量池和字符串常量池的区别及说明
这篇文章主要介绍了运行时常量池和字符串常量池的区别及说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-12-12
Java语言实现简单FTP软件 FTP上传下载管理模块实现(11)
这篇文章主要为大家详细介绍了Java语言实现简单FTP软件，FTP本地文件管理模块的实现方法，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-04-04
Spring接口ApplicationRunner用法详解
这篇文章主要介绍了Spring接口ApplicationRunner的作用和使用介绍,本文通过示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2023-08-08
一文详解SpringBoot Redis多数据源配置
Spring Boot默认只允许一种 Redis 连接池配置,且配置受限于 Lettuce 包,不够灵活,所以本文将为大家介绍如何自定义Redis配置方案实现多数据源支持,需要的可以参考下
2024-11-11