Android SQL での IN 句の安全なパラメータ化
Android の SQL IN 句で動的データを操作するには、SQL インジェクションの脆弱性を防ぐために慎重に処理する必要があります。 このガイドでは、プレースホルダーを使用した安全な方法を説明します。
セキュリティのためのプレースホルダーの利用
最も安全な方法は、疑問符をカンマで区切ってプレースホルダー文字列を作成することです。 プレースホルダーの数は、IN 句内の値の数と直接一致します。この文字列は SQL クエリに統合され、データをインジェクション攻撃から守ります。
実践例
このプレースホルダー文字列を生成する関数 makePlaceholders(int len) があると仮定します。 この関数は、値の数に関係なく、正しくフォーマットされた疑問符の文字列を保証します。使用方法は次のとおりです:
<code class="language-java">String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>makePlaceholders 関数の実装
makePlaceholders 関数の可能な実装は次のとおりです:
<code class="language-java">String makePlaceholders(int len){
if (len < 1) {
throw new IllegalArgumentException("Length must be at least 1");
} else if (len == 1) {
return "?";
} else {
StringBuilder sb = new StringBuilder(len * 2).append("?");
for (int i = 1; i < len; i++) {
sb.append(",?");
}
return sb.toString();
}
}</code>これにより、プレースホルダーの正しい数が保証され、エッジケース (単一値) のエラーが防止されます。 この方法を使用すると、IN 句内で動的データを処理する柔軟かつ安全な方法が提供され、SQL インジェクションから保護されます。
以上がAndroid SQL クエリで IN 句を安全にパラメータ化するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
