android - android:如何替换SQLite execSQL()以避免注入(inject)攻击？

我的MainActivity resetSortIndexes中有一个方法，该方法在运行SQLite数据库“ execSQL（）”方法的模型类中运行save（）。现在，我读到我不应该使用execSQL（）来避免SQL注入攻击，并且我不应该对任何INSERT操作使用rawQuery（）。那么我应该使用ContentValues（）和insert（）吗？

MainActivity.java
...
public static void resetSortIndexes() {

    int index = allList.size();
    for (ListItem s : allList) {
        s.setSortorder(index);
        s.save(sqLiteDB);
        index--;
    }
}

ListItem.java
...
public void save(SQLiteDB helper){

    String sql = "INSERT OR REPLACE INTO " + TABLE_NAME + "(_id,type,typecolor,todo,note1,note2," +
            "duedatentime,timestamp,notiftime,notiftime2,randint,sortorder,listone,listtwo," +
            "listthree,listfour,listfive,listsix,listseven,listeight,listnine,listten,listeleven," +
            "listtwelve,listthirteen,listfourteen,listfifteen,listsixteen,listseventeen," +
            "listeighteen,listnineteen,listtwenty) VALUES" +
            "(?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?,?)";
    // The object parameters from the ListItem class.
    Object[] params = new Object[]{_id,_type,_typecolor,_todo,_note1,_note2,_duedatentime,
            _timestamp,_notiftime,_notiftime2,_randint,_sortorder,_listone,_listtwo,
            _listthree,_listfour,_listfive,_listsix,_listseven,_listeight,_listnine,
            _listten,_listeleven,_listtwelve,_listthirteen,_listfourteen,_listfifteen,
            _listsixteen,_listseventeen,_listeighteen,_listnineteen,_listtwenty};
    // A method in the SQLiteDB class.
    helper.executeQuery(sql,params);
}

SQLiteDB.java
...
public void executeQuery(String sql, Object[] params) {

    SQLiteDatabase db = getReadableDatabase();

    db.beginTransaction();
    try {
        **db.execSQL(sql, params);**

    db.setTransactionSuccessful();
    } finally {
        db.endTransaction();
    }
    if(db.isOpen()) {
        db.close();
    }
}

最佳答案

您可以使用方法insertWithOnConflict(TABLE_NAME,null,contentvalues,SQLiteDatabase.CONFLICT_REPLACE);

其中contenvalues是使用其put（column_name，value）方法针对要插入的每个值填充的ContenValues。

该代码将遵循：-

ContentValues cv = new Contentvalues();
cv.put("_id",the_id);
cv.put("type",the_type);
..... etc
long result =  helper.insertWithOnConflict(TABLE_NAME,null,cv,SQliteDatabase.CONFLICT_REPLACE);

结果将是插入行的rowid或-1。

insertWithOnConflict

CONFLICT_REPLACE

附言使用execSQL可以防止SQL注入，因为SQL本身不受用户输入的约束，并且值作为参数绑定/传递。

关于android - android:如何替换SQLite execSQL()以避免注入(inject)攻击？，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/53368244/