android - 在 Android 中使用准备好的语句进行查询？-6ren

android - 在 Android 中使用准备好的语句进行查询？

转载作者：IT王子更新时间：2023-10-29 06:18:36

26

4

在 Android 中，android.database.sqlite.SQLiteStatement 允许我在 SQLite 中使用准备好的语句来避免注入(inject)攻击。它的execute方法适用于create/update/delete操作，但是好像没有返回游标之类的查询方法。

现在在 iOS 中，我可以创建类型为 sqlite3_stmt* 的准备好的语句，并将它们用于查询，所以我知道这不是 SQLite 的限制。如何在 Android 中使用准备好的语句执行查询？

最佳答案

准备好的语句允许你做两件事

加快性能，因为数据库不需要每次都解析语句
在语句中绑定(bind)和转义参数，这样您就可以免受注入(inject)攻击

我不确切知道 Android 的 SQLite 实现在何处/何时实际使用 sqlite3_prepare(不是 sqlite3_prepare_v2 - 参见 here)但它确实使用它，否则你可以没有得到 Reached MAX size for compiled-sql statement cache errors .

因此，如果你想查询数据库，你必须依赖于实现，我不知道如何使用 SQLiteStatement 来实现。

关于注入(inject)安全性，每个数据库查询、插入等方法都有(有时是替代的)版本允许您绑定(bind)参数。

例如如果你想从

中得到一个 Cursor

SELECT * FROM table WHERE column1='value1' OR column2='value2'

游标 SQLiteDatabase#rawQuery(

String sql, : 完整的 SELECT 语句，可以在任何地方包含 ?
String[] selectionArgs :替换 ? 的值列表，按它们出现的顺序

)

Cursor c1 = db.rawQuery(
    "SELECT * FROM table WHERE column1=? OR column2=?",
    new String[] {"value1", "value2"}
);

游标 SQLiteDatabase#query (

String table, : 表名，可以包含JOIN等
String[] columns, : 所需列的列表，null = *
String selection, : WHERE 子句没有 WHERE 可以/应该包含 ?
String[] selectionArgs, : 替换 ? 的值列表，按它们出现的顺序
String groupBy, : GROUP BY 子句 w/o GROUP BY
String having, : HAVING 子句 w/o HAVING
String orderBy : ORDER BY 子句 w/o ORDER BY

)

Cursor c2 = db.query("table", null, 
     "column1=? OR column2=?", 
      new String[] {"value1", "value2"},
      null, null, null);

通过 ContentProviders - 这种情况略有不同，因为您与抽象提供者交互，而不是数据库。实际上不能保证有支持 ContentProvider 的 sqlite 数据库。因此，除非您知道有哪些列/提供商在内部如何工作，否则您应该坚持文档所说的内容。

游标 ContentResolver#query(

Uri uri, : 代表数据源的URI(内部翻译成表格)
String[] projection, : 所需列的列表，null = *
String selection, : WHERE 子句没有 WHERE 可以/应该包含 ?
String[] selectionArgs, : 替换 ? 的值列表，按它们出现的顺序
String sortOrder : ORDER BY 子句 w/o ORDER BY

)

Cursor c3 = getContentResolver().query(
     Uri.parse("content://provider/table"), null,
     "column=? OR column2=?", 
      new String[] {"value1", "value2"},
      null);

提示:如果你想在此处LIMIT，你可以将其添加到ORDER BY子句中:

String sortOrder = "somecolumn LIMIT 5";

或根据 ContentProvider 的实现，将其作为参数添加到 Uri:

Uri.parse("content://provider/table?limit=5");
// or better via buildUpon()
Uri audio = MediaStore.Audio.Media.EXTERNAL_CONTENT_URI;
audio.buildUpon().appendQueryParameter("limit", "5");

在所有情况下，? 都将替换为您在绑定(bind)参数中输入的内容的转义版本。

? + "hack'me" = 'hack''me'

关于android - 在 Android 中使用准备好的语句进行查询？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/9857073/

26

4

0

文章推荐： ruby - Ruby 中 $stdout 和 STDOUT 的区别

文章推荐： sql - 在 SQLite 数据库中只保留 N 个最后记录，按日期排序

Mysql 查询 JOIN 查询
我有三张 table 。表 A 有选项名称(即颜色、尺寸)。表 B 有选项值名称(即蓝色、红色、黑色等)。表C通过将选项名称id和选项名称值id放在一起来建立关系。我的查询需要显示值和选项的名称，而
查询
在mysql中，如何计算一行中的非空单元格？我只想计算某些列之间的单元格，比如第 3-10 列之间的单元格。不是所有的列...同样，仅在该行中。最佳答案如果你想这样做，只能在 sql 中使用名称而
sql - 查询、 native 查询、命名查询和类型化查询之间的区别
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 7 年前。 Improve this ques
elasticsearch - 在Elasticsearch查询中没有为[查询]注册的[查询]
我正在为版本7.6进行Elasticsearch查询我的查询是这样的: { "query": { "bool": { "should": [ {
sql - 查询、 native 查询、命名查询和类型化查询之间的区别
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 7 年前。 Improve this ques
php - Mysql WHERE NOT EXISTS(查询)OR(查询)
是否可以编写一个查询来检查任一子查询(而不是一个子查询)是否正确？ SELECT * FROM employees e WHERE NOT EXISTS (
javascript - 查询。为表中的每一行发送 ajax 查询
我找到了很多关于我的问题的答案，但问题没有解决我有表格，有数据，例如: Data 1 Data 2 Data 3
salesforce - SOQL 查询 - 如何通过将字段设为小写并进行比较来编写 SOQL 查询？
以下查询返回错误: 查询: SELECT Id, FirstName, LastName, OwnerId, PersonEmail FROM Account WHERE lower(PersonEm
salesforce - SOQL 查询 - 如何通过将字段设为小写并进行比较来编写 SOQL 查询？
以下查询返回错误: 查询: SELECT Id, FirstName, LastName, OwnerId, PersonEmail FROM Account WHERE lower(PersonEm
Android SQLite 查询(我想解析一般的 SQL 查询)
我从 EditText 中获取了 String 值。以及提交查询的按钮。 String sql=editQuery.getText().toString();// SELECT * FROM empl
mysql 查询 - 为一个巨大的表优化现有的 MAX-MIN 查询
我有一个或多或少有效的查询(关于结果)，但处理大约需要 45 秒。这对于在 GUI 中呈现数据来说肯定太长了。所以我的需求是找到一个更快/更高效的查询(几毫秒左右会很好)我的数据表大约有 3000
SQL 查询 - 将 NULL 结果添加到 SELECT 查询
这是我第一次使用 Stack Overflow，所以我希望我以正确的方式提出这个问题。我有 2 个 SQL 查询，我正在尝试比较和识别缺失值，尽管我无法将 NULL 字段添加到第二个查询中以识别缺失
sql - 什么是动态 SQL 查询？何时需要使用动态 SQL 查询？
什么是动态 SQL 查询？何时需要使用动态 SQL 查询？我使用的是 SQL Server 2005。最佳答案这里有几篇文章: Introduction to Dynamic SQL Dynami
php - 在另一个 mysql 查询 while 循环中调用 mysql 查询
include "mysql.php"; $query= "SELECT ID,name,displayname,established,summary,searchlink,im
java - MySQL 查询 "select top 5"查询
我有一个查询要“转换”为 mysql。这是查询: select top 5 * from (select id, firstName, lastName, sum(fileSize) as To
c# - Entity Framework 查询 ToString 不会产生 SQL 查询
通过我的研究，我发现至少从 EF 4.1 开始，EF 查询上的 .ToString() 方法将返回要运行的 SQL。事实上，这对我来说非常有用，使用 Entity Framework 5 和 6。但
MySQL 查询(或 Doctrine 1.2 查询)- 从连接表和过滤器中获取最新项目
我在构造查询来执行以下操作时遇到问题: 按activity_type_id过滤联系人，仅显示最近事件具有所需activity_type_id或为NULL(无事件)的联系人表格结构如下: 一个联系人可
php - 如何在执行另一个 SQL 查询 x 分钟后执行一个 SQL 查询？
如何让我输入数据库的信息在输入数据 5 分钟后自行更新？假设我有一张 table : +--+--+-----+ |id|ip|count| +--+--+-----+ |
database - 如何在 N1QL 查询(Couchbase 查询)中使用 LENGTH() 字符串函数
我正在尝试搜索正好是 4 位数字的 ID，我知道我需要使用 LENGTH() 字符串函数，但找不到如何使用它的示例。我正在尝试以下(和其他变体)但它们不起作用。 SELECT max(car_id)
php - 将 SQL 查询 (+JOIN) 转换为 Symfony Propel 查询
我有一个在 mysql 上运行良好的 sql 查询(查询 + 连接): select sum(pa.price) from user u , purchase pu , pack pa where (

首页

博学

6Ren·AI

商城

android - 在 Android 中使用准备好的语句进行查询？