在android中使用db.update的哪种方式更快更好?即:构造整个where子句字符串以及where子句变量值或通过将where子句变量值作为字符串数组传递来使用第4个参数进行更新?
传递where子句变量值作为新的字符串数组是否可以防止sql注入攻击?
public boolean UpdateChannelSortKey(Channel c)
{
ContentValues cv = new ContentValues();
cv.put("SortKey", c.SortKey);
return this.db.update("Channels", cv, "ChannelID = ?", new String[]{String.valueOf(c.ChannelID)}) > 0;
}
要么
public boolean UpdateChannelSortKey(Channel c)
{
ContentValues cv = new ContentValues();
cv.put("SortKey", c.SortKey);
return this.db.update("Channels", cv, "ChannelID = " + c.ChannelID, null) > 0;
}
解决方法:
第一种方式更可取,因为:
1)是的,它可以防止SQL注入攻击.
2)最好总是使用准备好的语句 – 不仅仅是在android中,所以你会养成一个好习惯.
3)恕我直言,它具有更高的可读性.
原文地址:https://codeday.me/bug/20190610/1211515.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。