如何在 Android 中安全地参数化 SQL IN 子句？

保护您的 Android SQL IN 子句

构建 SQL 查询时，尤其是使用 IN 子句的查询时，防止 SQL 注入至关重要。 虽然 Android 的 rawQuery 方法使用占位符 (?)，但直接用用户提供的数据替换它们是一个重大的安全风险。

一个强大的解决方案涉及参数化 IN 子句。 此方法使用生成的占位符字符串，避免在 SQL 查询本身中直接包含用户输入。

安全方法：

1. 生成占位符： 创建一个包含正确数量的占位符 (?) 的字符串。 像 makePlaceholders(int len) 这样的辅助函数会生成一个以逗号分隔的 len 问号字符串。此函数可确保占位符字符串的格式一致且不受用户提供的数据的影响。

2. 构建查询：将生成的占位符字符串集成到您的 SQL 查询中：

   <code class="language-sql">String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";</code>

3. 准备并绑定：准备查询并将动态值绑定为数组：

   <code class="language-java">Cursor cursor = mDb.rawQuery(query, names);</code>

   至关重要的是，names 数组中的值数量必须与生成的占位符数量精确匹配。

代码示例：

这是 makePlaceholders 函数的示例实现：

<code class="language-java">public static String makePlaceholders(int len) {
    StringBuilder sb = new StringBuilder(len * 2 - 1);
    sb.append("?");
    for (int i = 1; i < len; i++) {
        sb.append(",?");
    }
    return sb.toString();
}</code>

该方法动态构造占位符字符串，确保安全查询执行。 通过使用参数化查询，您可以有效缓解 SQL 注入漏洞并保护您的 Android 数据库。

以上是如何在 Android 中安全地参数化 SQL IN 子句？的详细内容。更多信息请关注PHP中文网其他相关文章！