那些遇到过的问题

Android在sql查询字符串中引用

mia*_*lle 44 sqlite android

我想执行如下查询:

uvalue = EditText( some user value );
p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
mDb.rawQuery( p_query, null );
Run Code Online (Sandbox Code Playgroud)

如果用户在输入中输入单引号,则会崩溃.如果您将其更改为:

p_query = "select * from mytable where name_field = \"" +  uvalue + "\"" ;
Run Code Online (Sandbox Code Playgroud)

如果用户在输入中输入双引号,它就会崩溃.当然,他们总是可以输入单引号和双引号.

Jos*_*ger 129

您应该使用rawQuery方法的selectionArgs参数:

p_query = "select * from mytable where name_field = ?";
mDb.rawQuery(p_query, new String[] { uvalue });
Run Code Online (Sandbox Code Playgroud)

这不仅可以解决您的报价问题,还可以减轻问题SQL Injection.

  • 实际上,您应该使用查询参数.但是,如果需要,您还可以使用DatabaseUtils转义字符串.例如,DatabaseUtils.sqlEscapeString().这不是最好的方式,但它是可用的.如果您尝试将原始SQL语句传递给外部事物,则可能很有用. (20认同)
  • 我希望我能不止一次upmod这个! (6认同)

小智 14

DatabaseUtils.sqlEscapeString适合我.该字符串用单引号括起来,字符串中的单引号变为双引号.尝试在getContentResolver().query()中使用selectionArgs,但它根本不起作用.

小智 5

你应该改变

p_query = "select * from mytable where name_field = '" +  uvalue + "'" ;
Run Code Online (Sandbox Code Playgroud)

喜欢

p_query = "select * from mytable where name_field = '" + android.database.DatabaseUtils.sqlEscapeString(uvalue)+ "'" ;
Run Code Online (Sandbox Code Playgroud)

  • 但您需要删除引号,因为它们是默认添加的 (2认同)

归档时间:

查看次数:

39778 次

最近记录:

8 年 前
我如何处理SQL中的引号 11
在SQL 2005/2008中转义双引号 3
更多相关链接
相关归档
Android Spinner有多种选择 54
日志记录标记最多可包含23个字符 43
Gradle无法在Android Studio中解析库 35
如何在android中创建数据库? 30
sqlite3数据库的最大连接数是多少 23
如何在Android(模拟器)中查找和清除SQLite db文件 14
Pandas to_sql如何确定将哪个数据帧列放入哪个数据库字段? 7
使用文件或sqlite数据库哪个更好的缓存数据? 3
sqlite3"无法打开数据库文件" - ios 3
将CSV导入Sqlite时省略列 3
难疑归档
将本地存储库分支重置为远程存储库HEAD 3488
如何在Java中打破嵌套循环? 1751
在jQuery中检测移动设备的最佳方法是什么? 1564
如何有效地计算JavaScript中对象的键/属性数? 1452
如何在Python中通过索引从列表中删除元素? 1381
修复一个Git分离的头? 1318
如何重置MySQL中的AUTO_INCREMENT? 1174
获取对象类型的名称 1159
endsWith在JavaScript中 1085
如何在JavaScript中创建二维数组? 1081