如何安全地参数化 Android SQL 查询中的 IN 子句？

Android SQL 查询中的 IN 子句和占位符难题

在 Android 中，执行 SQL 查询通常涉及使用参数化占位符来防止 SQL 注入漏洞。当使用 IN 子句时，就会出现这种情况。考虑以下查询：

<code>String names = "name1', 'name2";   // 动态生成
String query = "SELECT * FROM table WHERE name IN (?)";
Cursor cursor = mDb.rawQuery(query, new String[]{names});</code>

但是，Android 无法用提供的数值替换问号。或者，可以选择：

<code>String query = "SELECT * FROM table WHERE name IN (" + names + ")";
Cursor cursor = mDb.rawQuery(query, null);</code>

虽然这种方法消除了 SQL 注入威胁，但它未能正确参数化查询。

参数化 IN 子句

为了在避免注入风险的同时实现参数化，请考虑使用带有占位符模式的字符串：

<code>String query = "SELECT * FROM table WHERE name IN (" + makePlaceholders(names.length) + ")";
Cursor cursor = mDb.rawQuery(query, names);</code>

makePlaceholders(len) 函数生成一个字符串，其中包含所需数量的问号，并以逗号分隔。这允许安全地插入查询，而不会影响参数化。

makePlaceholders(len) 的实现：

<code>String makePlaceholders(int len) {
    if (len < 1) {
        throw new IllegalArgumentException("Length must be > 0");
    }
    StringBuilder sb = new StringBuilder(len * 2 - 1);
    sb.append("?");
    for (int i = 1; i < len; i++) {
        sb.append(",?");
    }
    return sb.toString();
}</code>

请注意，SQLite 通常最多支持 999 个主机参数，但在某些特定的 Android 版本中除外。

以上是如何安全地参数化 Android SQL 查询中的 IN 子句？的详细内容。更多信息请关注PHP中文网其他相关文章！