Android SQL 쿼리에서 IN 절을 안전하게 매개변수화하려면 어떻게 해야 합니까?

Android SQL에서 IN 절을 안전하게 매개변수화

Android의 SQL IN 절에서 동적 데이터로 작업하려면 SQL 주입 취약점을 방지하기 위해 주의 깊게 처리해야 합니다. 이 가이드에서는 자리 표시자를 사용하는 보안 방법을 보여줍니다.

보안을 위한 자리 표시자 활용

가장 안전한 접근 방식은 물음표를 쉼표로 구분하는 자리 표시자 문자열을 만드는 것입니다. 자리 표시자 수는 IN 절의 값 수와 직접적으로 일치합니다. 그런 다음 이 문자열은 SQL 쿼리에 통합되어 주입 공격으로부터 데이터를 안전하게 보호합니다.

실제예

이 자리 표시자 문자열을 생성하는 makePlaceholders(int len) 함수가 있다고 가정해 보겠습니다. 이 함수는 값 수에 관계없이 올바른 형식의 물음표 문자열을 보장합니다. 사용 방법은 다음과 같습니다.

<code class="language-java">String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>

makePlaceholders 기능 구현

makePlaceholders 함수의 가능한 구현은 다음과 같습니다.

<code class="language-java">String makePlaceholders(int len){
    if (len < 1) {
        throw new IllegalArgumentException("Length must be at least 1");
    } else if (len == 1) {
        return "?";
    } else {
        StringBuilder sb = new StringBuilder(len * 2).append("?");
        for (int i = 1; i < len; i++) {
            sb.append(",?");
        }
        return sb.toString();
    }
}</code>

이렇게 하면 자리 표시자의 정확한 수를 보장하고 극단적인 경우(단일 값)의 오류를 방지할 수 있습니다. 이 방법을 사용하면 IN 절 내에서 동적 데이터를 유연하고 안전하게 처리하여 SQL 삽입을 방지할 수 있습니다.

위 내용은 Android SQL 쿼리에서 IN 절을 안전하게 매개변수화하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!