我根据同事的建议使用replaceAll替换单引号"\\\\'",但我很确定这不足以阻止所有SQL注入.
我做了一些谷歌搜索,发现了这个:http://wiki.postgresql.org/wiki/8.1.4_et._al._Security_Release_Technical_Info
这解释了PostgreSQL,但替换不适用于所有SQL管理器吗?(例如,MySQL,例如?)
另外,我想我理解我链接的解释如何用于单反斜杠,但它是否扩展到我使用四个反斜杠的情况?
请注意,我不太熟悉数据库以及它们如何解析输入,但这是我学习更多内容的机会!任何见解将不胜感激.
编辑:我得到了一些非常有用,有用的答案.我的下一个问题是,什么样的输入会破坏我的实现?也就是说,如果你给我输入并且我在前面添加了四个反斜杠的单引号,你会给我什么样的输入来注入SQL代码?虽然我确信我的方法是天真和错误的,但也许一些例子会更好地告诉我在我的"预防"中注入SQL是多么容易.
给定一个非null的ViewGroup对象v,我们可以说v.getChildAt(0)永远不会返回null吗?
如果它可以返回null,那么该视图层次结构会是什么样的?