在 Android 中,執行 SQL 查詢通常涉及使用參數化佔位符來防止 SQL 注入漏洞。當使用 IN 子句時,就會出現這種情況。考慮以下查詢:
<code>String names = "name1', 'name2"; // 动态生成
String query = "SELECT * FROM table WHERE name IN (?)";
Cursor cursor = mDb.rawQuery(query, new String[]{names});</code>但是,Android 無法用提供的數值取代問號。或者,可以選擇:
<code>String query = "SELECT * FROM table WHERE name IN (" + names + ")";
Cursor cursor = mDb.rawQuery(query, null);</code>雖然這種方法消除了 SQL 注入威脅,但它未能正確參數化查詢。
為了在避免注入風險的同時實現參數化,請考慮使用具有佔位符模式的字串:
<code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>makePlaceholders(len) 函數產生一個字串,其中包含所需數量的問號,並以逗號分隔。這允許安全地插入查詢,而不會影響參數化。
makePlaceholders(len) 的實作:
<code>String makePlaceholders(int len) {
if (len < 1) {
throw new IllegalArgumentException("Length must be > 0");
}
StringBuilder sb = new StringBuilder(len * 2 - 1);
sb.append("?");
for (int i = 1; i < len; i++) {
sb.append(",?");
}
return sb.toString();
}</code>請注意,SQLite 通常支援最多 999 個主機參數,但在某些特定的 Android 版本中除外。
以上是如何安全地參數化 Android SQL 查詢中的 IN 子句?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
