我需要重命名数据库中任务标题中的标签。 我看到类似的问题like this one 但在我的应用程序中,用户可以创建具有自定义标题的任务。因此,以下解决方案可能很危险:
db.execSQL("UPDATE " + Task.TABLE +
" SET title = REPLACE(title, '" + fromTagName + "', '" + toTagName + "');");
如果用户将在标题中创建带有一些危险命令的任务(注入)怎么办?这种方法会崩溃吗?是否可以使用特殊的 android 方法代替原始 SQL 命令?还是这样安全?
【问题讨论】:
标签: java android sqlite android-sqlite
您可以将update() 方法与ContentValues() 一起使用:
ContentValues cv = new ContentValues();
cv.put("title", "new value");
int rows = db.update(Task.TABLE, cv, "id = ?", new String[] {String.valueOf(yourid)})
3d 参数是更新语句的WHERE 子句,? 是一个占位符,您需要在第四个参数中为其提供一个值。
所以该语句等价于:
UPDATE <Task.TABLE> SET title = 'new value' WHERE id = <yourid>
在变量rows 中,方法update() 返回更新的行数。
这个方法是sql-injection 安全的。
【讨论】:
使用绑定变量。只需放置一个 ?你有一个变量,并按顺序将一个参数数组传递给 rawQuery 函数。
永远不要像上面那样使用串联。到处使用绑定变量。任何用户输入都应该在绑定变量中,任何常量都应该在查询中。这消除了所有可能的 SQL 注入。
【讨论】:
使用DatabaseUtils.sqlEscapeString(stringToEscape) 在插入数据库之前清理用户输入。参考here。
【讨论】: