安全參數化 Android SQL 中的 IN 子句
在 Android 的 SQL IN 子句中使用動態資料需要仔細處理以防止 SQL 注入漏洞。 本指南示範了使用佔位符的安全方法。
利用佔位符確保安全
最安全的方法是建立一個佔位符字串,並用逗號分隔問號。 佔位符的數量直接與 IN 子句中的值的數量相符。然後,該字串將整合到您的 SQL 查詢中,確保您的資料免受注入攻擊。
實際範例
假設您有一個產生此佔位符字串的函數 makePlaceholders(int len)。 此函數可確保問號字串格式正確,無論值的數量為何。使用方法如下:
<code class="language-java">String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>makePlaceholders功能實作
makePlaceholders 函數的可能實作是:
<code class="language-java">String makePlaceholders(int len){
if (len < 1) {
throw new IllegalArgumentException("Length must be at least 1");
} else if (len == 1) {
return "?";
} else {
StringBuilder sb = new StringBuilder(len * 2).append("?");
for (int i = 1; i < len; i++) {
sb.append(",?");
}
return sb.toString();
}
}</code>這確保了佔位符的正確數量並防止邊緣情況(單值)的錯誤。 使用此方法提供了一種靈活且安全的方式來處理 IN 子句中的動態數據,從而防止 SQL 注入。
以上是如何安全地參數化 Android SQL 查詢中的 IN 子句?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
