如何安全地參數化 Android SQL 查詢中的 IN 子句以防止 SQL 注入？

安全參數化 IN 子句

在 Android 開發中，SQL 查詢包含使用動態參數的 IN 子句的情況很常見。但是，直接將參數替換到查詢中可能會危及安全性並導致 SQL 注入漏洞。

挑戰

挑戰在於安全地參數化 IN 子句，同時不影響資料完整性。手動將參數值連接到查詢中的方法是不安全的，並且破壞了參數綁定的目的，參數綁定可以防止意外執行惡意的 SQL 命令。

解：動態問號

一個安全的解決方案包括動態產生一個由逗號分隔的問號字串。此字串可以直接嵌入到原始 SQL 查詢中，確保佔位符的數量與提供的參數數量相符。以下是它的工作原理：

1. 建立佔位符產生器： 實作一個函數 makePlaceholders(int len)，它接受所需的佔位符數量並傳回一個包含該數量的問號（由逗號分隔）的字串。

2. 建構參數化查詢： 使用產生的 IN 子句中的問號字串組合 SQL 查詢：

   <code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";</code>

3. 使用參數執行： 最後，使用參數綁定方法執行查詢，並將適當的值作為參數提供。

範例實作

以下是 makePlaceholders 函數的範例實作：

String makePlaceholders(int len) {
    if (len < 1) {
        throw new IllegalArgumentException("Length must be at least 1");
    }
    StringBuilder sb = new StringBuilder(len * 2 - 1);
    sb.append("?");
    for (int i = 1; i < len; i++) {
        sb.append(",?");
    }
    return sb.toString();
}

透過使用此技術，您可以安全地參數化 IN 子句，從而降低 SQL 注入風險並確保資料庫操作的完整性。

以上是如何安全地參數化 Android SQL 查詢中的 IN 子句以防止 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！