0
我檢查了文檔,但是我沒有看到它註明SQL地址。 insert()方法是否自動阻止注入,或者必須手動阻止它們?謝謝。SQLiteDatabase.insert()是否可以防止SQL注入攻擊?
我檢查了文檔,但是我沒有看到它註明SQL地址。 insert()方法是否自動阻止注入,或者必須手動阻止它們?謝謝。SQLiteDatabase.insert()是否可以防止SQL注入攻擊?
Android API調用SQLite本機庫來綁定參數。所以,假設準備好的語句被正確寫入,查詢是安全的。
相關的源代碼:
我想'插入()'是安全的。至少參數化。我不明白它是如何進行注射的。但不要聽我的話。 – keyser
這就是我所想象的,但以某種方式發現某種確認會更讓人放心,特別是在處理漏洞時。 – cheese1756
如果有疑問,可以查看Android源代碼。調用insert會創建帶有問號佔位符的參數化查詢(請參閱SQLIteDatabase.java - > insertWithOnConflict),所以是的,它應該是安全的。 – tiguchi