如何安全地參數化 Android SQL 查詢中的 IN 子句？

Android SQL 查詢中的 IN 子句和占位符難題

在 Android 中，執行 SQL 查詢通常涉及使用參數化佔位符來防止 SQL 注入漏洞。當使用 IN 子句時，就會出現這種情況。考慮以下查詢：

<code>String names = "name1', 'name2";   // 动态生成
String query = "SELECT * FROM table WHERE name IN (?)";
Cursor cursor = mDb.rawQuery(query, new String[]{names});</code>

但是，Android 無法用提供的數值取代問號。或者，可以選擇：

<code>String query = "SELECT * FROM table WHERE name IN (" + names + ")";
Cursor cursor = mDb.rawQuery(query, null);</code>

雖然這種方法消除了 SQL 注入威脅，但它未能正確參數化查詢。

參數化 IN 子句

為了在避免注入風險的同時實現參數化，請考慮使用具有佔位符模式的字串：

<code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>

makePlaceholders(len) 函數產生一個字串，其中包含所需數量的問號，並以逗號分隔。這允許安全地插入查詢，而不會影響參數化。

makePlaceholders(len) 的實作：

<code>String makePlaceholders(int len) {
    if (len  0");
    }
    StringBuilder sb = new StringBuilder(len * 2 - 1);
    sb.append("?");
    for (int i = 1; i </code>

請注意，SQLite 通常支援最多 999 個主機參數，但在某些特定的 Android 版本中除外。

以上是如何安全地參數化 Android SQL 查詢中的 IN 子句？的詳細內容。更多資訊請關注PHP中文網其他相關文章！