Sous Android, l'exécution de requêtes SQL implique souvent l'utilisation d'espaces réservés paramétrés pour éviter les vulnérabilités d'injection SQL. Cela se produit lorsqu'une clause IN est utilisée. Considérez la requête suivante :
<code>String names = "name1', 'name2"; // 动态生成
String query = "SELECT * FROM table WHERE name IN (?)";
Cursor cursor = mDb.rawQuery(query, new String[]{names});</code>Cependant, Android ne peut pas remplacer le point d'interrogation par la valeur fournie. Alternativement, vous pouvez choisir :
<code>String query = "SELECT * FROM table WHERE name IN (" + names + ")";
Cursor cursor = mDb.rawQuery(query, null);</code>Bien que cette approche élimine la menace d'injection SQL, elle ne parvient pas à paramétrer correctement la requête.
Pour réaliser le paramétrage tout en évitant les risques d'injection, pensez à utiliser des chaînes avec des motifs fictifs :
<code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>makePlaceholders(len) génère une chaîne contenant le nombre requis de points d'interrogation, séparés par des virgules. Cela permet d'insérer des requêtes en toute sécurité sans affecter le paramétrage.
Implémentation de makePlaceholders(len) :
<code>String makePlaceholders(int len) {
if (len < 1) {
throw new IllegalArgumentException("Length must be > 0");
}
StringBuilder sb = new StringBuilder(len * 2 - 1);
sb.append("?");
for (int i = 1; i < len; i++) {
sb.append(",?");
}
return sb.toString();
}</code>Veuillez noter que SQLite prend généralement en charge jusqu'à 999 paramètres d'hôte, sauf dans certaines versions spécifiques d'Android.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
