如何通過VALUES在循環中防止sql注入

Question

我試圖將String的ArrayList插入到sqlite數據庫的表中。

我寫了一個循環，將String從ArrayList添加到使用android.database.sqlite.SQLiteOpenHelper的sqlite數據庫查詢中。

查詢對於sql注入很脆弱，並且不是最優的。我發現這些鏈接 using PreparedStatement,using SQLiteStatement。我還沒有找到在這樣的循環中防止sql注入的例子。爲了演示，我已經在示例中將ArrayList的初始化。

ArrayList<String> descriptions = new ArrayList<>(); 

SQLiteDatabase db = this.getWritableDatabase(); 
String addBulkQuery = "INSERT INTO " + TABLE_DESCRIPTIONS + "(" + KEY_ID + ", " + KEY_DESCRIPTION + ") VALUES"; 
if (descriptions.size() > 0) { 
    addBulkQuery += "(" + id + ", " + descriptions.get(0) + ")"; 
    for (int i = 1; i < descriptions.size(); i++) { 
     addBulkQuery += ", (" + id + ", " + descriptions.get(i) + ")"; 
    } 
} 

什麼將是最安全的解決方案的的ArrayListString S或Object s到SQLite數據庫添加？

Answer 1

嘗試使用SQLiteStatement，像下面：

ArrayList<String> descriptions = new ArrayList<>(); 
ArrayList<String> bindArgs = new ArrayList<>(descriptions.size() * 2); 

String values = ""; 
if (descriptions.size() > 0) { 

    values += "(?,?)"; 
    bindArgs.add(id); 
    bindArgs.add(descriptions.get(0)); 

    for (int i = 1; i < descriptions.size(); i++) { 
     values += ",(?,?)"; 
     bindArgs.add(id); 
     bindArgs.add(descriptions.get(i)); 
    } 
} 

String addBulkQuery = String.format("INSERT INTO %s (%s, %s) VALUES %s", TABLE_DESCRIPTIONS, KEY_ID, KEY_DESCRIPTION, values); 

SQLiteStatement statement = db.compileStatement(addBulkQuery); 

statement.bindAllArgsAsStrings(bindArgs.toArray(new String[0])); 

statement.executeInsert(); 

我承擔的id是一個字符串，所以我可以用statement.bindAllArgsAsStrings方法將變量綁定到語句。 （對不起，我也改寫你的字符串使用的String.format，我覺得更容易閱讀，如果你願意的話可以無視）

OLD答：

看看使用綁定變量。重寫你的SQL，以便在你接受用戶輸入的任何地方輸入「？」然後用db.execSQL(sqlString, Arguments);

所以，你要的SQL看起來像（在執行前）：

INSERT INTO <tableName> (<key_id>, <key_description>) 
VALUES (?, ?), (?, ?), ... 

然後，您將需要壓扁你的ArrayList與任何id是穿插一個對象數組！