如何在 Android 中安全地參數化 SQL IN 子句？-mysql教程-PHP中文網

首頁

資料庫

mysql教程

如何在 Android 中安全地參數化 SQL IN 子句？

Barbara Streisand

Jan 18, 2025 pm 05:21 PM

How to Securely Parametrize the SQL IN Clause in Android?

保護您的 Android SQL IN 子句

建構 SQL 查詢時，尤其是使用 IN 子句的查詢時，防止 SQL 注入至關重要。雖然 Android 的 rawQuery 方法使用佔位符 (?)，但直接用使用者提供的資料取代它們是一個重大的安全風險。

一個強大的解決方案涉及參數化 IN 子句。此方法使用產生的佔位符字串，避免在 SQL 查詢本身中直接包含使用者輸入。

安全方法：

產生佔位符： 建立一個包含正確數量的佔位符 (?) 的字串。像 makePlaceholders(int len) 這樣的輔助函數會產生一個以逗號分隔的 len 問號字串。此函數可確保佔位符字串的格式一致且不受使用者提供的資料的影響。

建置查詢：將產生的佔位符字串整合到您的 SQL 查詢中：

String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";

準備並綁定：準備查詢並將動態值綁定為陣列：
```
Cursor cursor = mDb.rawQuery(query, names);
```
至關重要的是，names 陣列中的值數量必須與產生的佔位符數量精確匹配。

程式碼範例：

這是 makePlaceholders 函數的範例實作：

public static String makePlaceholders(int len) {
    StringBuilder sb = new StringBuilder(len * 2 - 1);
    sb.append("?");
    for (int i = 1; i < len; i++) {
        sb.append(",?");
    }
    return sb.toString();
}

此方法動態建構佔位符字串，確保安全查詢執行。透過使用參數化查詢，您可以有效緩解 SQL 注入漏洞並保護您的 Android 資料庫。

以上是如何在 Android 中安全地參數化 SQL IN 子句？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

MySQL：字符串數據類型可用哪些字符集？May 10, 2025 am 12:07 AM

mysqloffersvariouscharactersetsforstringdatatypes：1）latin1 forwesterneuropeanlanguages，2）utf8 formultingualsupport，3）utf8mb4f OREXTEDENDENDENENICODECLUDINGEMOJIS，4）UCS2FORIXED-WIDTHENCODING，5）assiiforbasiclatin.ChoosideStherightStetSetensensersdaintegrity

mysql：斑點流比存儲它們更好嗎？May 10, 2025 am 12:06 AM

流式傳輸BLOB確實比直接存儲更好，因為它能減少內存使用和提高性能。 1）通過逐步讀取和處理文件，避免了數據庫膨脹和性能下降。 2）流式傳輸需要更複雜的代碼邏輯，且可能增加I/O操作次數。

MySQL字符串類型：存儲，性能和最佳實踐May 10, 2025 am 12:02 AM

mySqlStringTypesimpactStorageAndPerformanCeaseAsfollows：1）長度，始終使用theSamestoragespace，whatcanbefasterbutlessspace-felfficity.2）varCharisvariable varcharisvariable length，morespace-morespace-morespace-effficitybuteftife buteftife butfority butfority textifforlyslower.3）

了解MySQL字符串類型：VARCHAR，文本，char等May 10, 2025 am 12:02 AM

mysqlStringTypesIncludeVarChar，文本，char，Enum和set.1）varCharisVersAtileForvariable-lengthStringStringSuptoPuptOuptoPepePecifiedLimit.2）textisidealforlargetStortStorStoverStoverStorageWithoutAutAdefinedLength.3）charlisfixed-lenftenge，for forConsistentDatalikeCodes.4）

MySQL中的字符串數據類型是什麼？May 10, 2025 am 12:01 AM

MySQLoffersvariousstringdatatypes:1)CHARforfixed-lengthstrings,2)VARCHARforvariable-lengthtext,3)BINARYandVARBINARYforbinarydata,4)BLOBandTEXTforlargedata,and5)ENUMandSETforcontrolledinput.Eachtypehasspecificusesandperformancecharacteristics,sochoose

如何向新的MySQL用戶授予權限May 09, 2025 am 12:16 AM

TograntpermissionstonewMySQLusers,followthesesteps:1)AccessMySQLasauserwithsufficientprivileges,2)CreateanewuserwiththeCREATEUSERcommand,3)UsetheGRANTcommandtospecifypermissionslikeSELECT,INSERT,UPDATE,orALLPRIVILEGESonspecificdatabasesortables,and4)

如何在MySQL中添加用戶：逐步指南May 09, 2025 am 12:14 AM

toadduserInmysqleffect和securly，跟隨台詞：1）USEtheCreateUserStattoDaneWuser，指定thehostandastrongpassword.2）GrantNecterAryAryaryPrivilegesSustherthing privilegesgeStatement，usifementStatement，adheringtotheprinciplelastprefilegege.3）

mysql：添加具有復雜權限的新用戶May 09, 2025 am 12:09 AM

toaddanewuserwithcomplexpermissionsinmysql，loldtheSesteps：1）創建eTheEserWithCreateuser'newuser'newuser'@''localhost'Indedify'pa ssword';。 2）GrantreadAccesstoalltablesin'mydatabase'withGrantSelectOnMyDatabase.to'newuser'@'localhost';。 3）GrantWriteAccessto'

See all articles