- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想在 Android Studio 中的 SQLite 数据库的表中插入值。我想问我应该从下面给定的两种方法中选择哪种方法。我从类(class)中学到了第一种方法,但我想使用第二种方法。这就是我问这个问题的原因
articleId、articleContent和articleTitle都是字符串类型。
如果可以的话,请说明每种方法的优缺点。如果您愿意,您可以建议其他方法。
String sql = "INSERT INTO articles (articleId, title, content) VALUES (?, ?, ?)";
SQLiteStatement statement = articlesDB.compileStatement(sql);
statement.bindString(1, articleId);
statement.bindString(2, articleTitle);
statement.bindString(3, articleContent);
statement.execute();
或者简单地使用字符串连接:
sqliteDatabase.execSQL("INSERT INTO articles (articleId, title, content) VALUES (" + articleId + ", " + articleTitle + ", " + articleContent + ")");
最佳答案
是的,始终建议使用bindString()
来避免通过 SQL 注入(inject)对数据库进行可能的攻击。</strong>
在您的特定情况下,似乎要插入的值仅来自您的代码,而不是来自任何动态输入源 - 例如用户输入。在这种情况下,使用您在问题中提到的任何方法都是安全的。
在您的情况下,您还可以使用 SQLiteDatabase
类中的 insert()
来代替字符串连接,这样不会出现任何语法错误:
SQLiteDatabase db = this.getWritableDatabase();
ContentValues values = new ContentValues();
values.put("articleId", articleId);
values.put("title", articleTitle);
values.put("content", articleContent);
db.insert("articles", null, values);
它返回新插入行的行 ID,如果发生错误,则返回 -1。
但是,如果您从用户输入中获取值,那么使用字符串连接会使您的数据库完全容易受到潜在攻击者的攻击。这就是为什么我们总是建议在需要传递值的地方使用SQLiteProgram
类的bindString()
方法来执行sql。
另一个原因是,bindString()
可以调用java.lang.IllegalArgumentException
。因此,使用此方法有助于异常处理和调试,以防发生语法错误。
关于java - 使用 SQLitestatement bindstring 方法代替简单的字符串连接来执行 sql 语句有什么优点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56504477/
我可以只用 JavaScript 编写我的网站,并确保我的代码对任何人隐藏吗?在这方面,Node.js 是否可以像 Apache 一样通过互联网提供商访问? 最佳答案 您的两个问题的答案都是是。 No
正文应仅包含 bool 而不是 json 对象或数据。 我已经尝试将 bool 转换为 JSON 中的类型。 request.httpMethod = "PUT" let sessio
假设我们有这个html内容,我们愿意用正则表达式得到Content1, Content2,.. Content1 Content2 Content3 Content4 如果我使用下面的行 preg_m
1、LUA获取utf8字符串长度 复制代码 代码如下: --- 获取utf8编码字符串正确长度的方法 -- @param str -- @return number f
我刚刚观察到 if 而不是 -> , 我写 =>在函数的类型签名定义中,它不会导致编译时错误。示例代码: mysum :: Num a => [a] => a -- Notice => after t
所以我试图替换字符串中的任何非字母数字字符,包括空格。我找到了一个可行的解决方案,但感觉很糟糕。我不需要两个单独的替换函数来完成此操作,但我不知道如何正确合并它们。我在网上找到的所有文档都没有解决这个
我有一个字符串 'abc.132131.001.3' 。我想将每次出现的 '.' 替换为 '~'. 我用过 str.replace(/[.*?^${}()|[\]\\]/g, "\~$&"); 但是这
我有这个; let subs = []; for ( const item of items ) { // array for ( const sub of item ) { //
考虑下面来自 this AngularJS tutorial 的代码片段: app.factory('Auth', function ($firebaseSimpleLogin, FIREBASE
出于培训原因,我想编写一个小计算器。为什么要计算 10-6 = 16 而不是 10-6 = 4? 我得到了错误: Assertion Failed! Expression: calc("10-6")
代码如下: /// <summary> /// 将指定字符串按指定长度进行剪切, &nbs
假设我有以下示例: 示例一 $('.my_Selector_Selected_More_Than_One_Element').each(function() { $(this).stuff()
自 Flutter 1.12 发布以来,我的以下代码用于重新启动应用程序: final MyAppState state = context.ancestorStateOfType(const Typ
这行是什么意思: bool operator() (const song& s); I am not able to understand that line with operator. Is op
我在使用 mimetype="text/plain"的 django 模板时遇到了一些问题。 首先,url 的 s3 部分以 :80 结尾,然后实际图像 url 以 '%2f' 代替每个斜杠呈现。 o
目前,如果任意(OR)条件为true,.is()的结果将返回true,如何我是否让它使用AND,即仅在满足所有条件时返回true? if ($('#search-form #valid_only').
我用 C 语言创建了一个非常简单的链表程序。 #include #include int main(){ struct Int{ int num; struct
我有以下无法更改的 HTML 输出: link1;;;link 我怎样才能摆脱;所以结果变成: 链接1;链接2 这是我最好的尝试: var test = new String($(this).html
我有以下查询,它给出了正确的结果,但我想使用不存在而不是不存在。 select cust_name from customer where cust_id not in (select c
我使用 SilverStripe 3.5.6 进行自定义搜索,它将所有关键字分解为一个数组,并且仅返回包含所有单词的结果,而不返回包含其中一个单词的结果。 这只是脚本的一小部分,但这就是我使用过滤器功
我是一名优秀的程序员,十分优秀!