在 Android 中,执行 SQL 查询通常涉及使用参数化占位符来防止 SQL 注入漏洞。当使用 IN 子句时,就会出现这种情况。考虑以下查询:
<code>String names = "name1', 'name2"; // 动态生成
String query = "SELECT * FROM table WHERE name IN (?)";
Cursor cursor = mDb.rawQuery(query, new String[]{names});</code>但是,Android 无法用提供的数值替换问号。或者,可以选择:
<code>String query = "SELECT * FROM table WHERE name IN (" + names + ")";
Cursor cursor = mDb.rawQuery(query, null);</code>虽然这种方法消除了 SQL 注入威胁,但它未能正确参数化查询。
为了在避免注入风险的同时实现参数化,请考虑使用带有占位符模式的字符串:
<code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>makePlaceholders(len) 函数生成一个字符串,其中包含所需数量的问号,并以逗号分隔。这允许安全地插入查询,而不会影响参数化。
makePlaceholders(len) 的实现:
<code>String makePlaceholders(int len) {
if (len < 1) {
throw new IllegalArgumentException("Length must be > 0");
}
StringBuilder sb = new StringBuilder(len * 2 - 1);
sb.append("?");
for (int i = 1; i < len; i++) {
sb.append(",?");
}
return sb.toString();
}</code>请注意,SQLite 通常最多支持 999 个主机参数,但在某些特定的 Android 版本中除外。
以上是如何安全地参数化 Android SQL 查询中的 IN 子句?的详细内容。更多信息请关注PHP中文网其他相关文章!
