一、写在前文
已经很久没有写过博客了,第一次写博客是在2015年的时候,那时候第一次接触CSDN,感觉很新鲜,所以当时就写了好几篇博客,那会刚刚好学C++,所以写的都是关于C++的,而现在已经学习Android一年多了,心血来潮打开以前的文章,没想到竟然还有300多阅读量
。而最近项目刚刚赶好,所以决定从新开始记录博客。
二、遇到的问题
项目需求如下: 在搜索框输入关键字,进行模糊搜索,从数据库获取数据进行展示。
于是开始着手写代码:简单实现如下:
// key 为搜索关键字 其他为自定义的数据库字段 group by 为分组查询
String selection =
Columns.ID + " like " + "'%" + key + "%'" + " or " +
Columns.NAME + " like " + "'%" + key + "%'" + " or " +
Columns.NUM + " like " + "'%" + key + "%'";
Cursor cursor =
context.getContentResolver().query(
URI,
null,
selection + ") group by (key",
null,
null );
上面代码相信大家平时已经司空见惯了,我一开始也没在意,测试了觉得没问题就提交了代码了,直到周末放假.....
测试使用魅蓝m2测试,发现 闪退!闪退!闪退! 吓得我赶紧去腾讯优测租用一台一样的测试机进行测试,不过还是没发现问
题。后来才发现是他输入的时候是用的九宫格输入法,输入hh的时候,搜索框会先输入h'h,
注意 h'h, 多了一个 '
。报错信息如下:
android.database.sqlite.SQLiteException: near "h": syntax error (code 1): , while compiling: like '%h'h%'
错误信息很显然,输入h‘h,输入法多出的 ' 和 我的sql语句拼接在一起,造成SQL的语法错误。同时,在这里我也忘记
加入
防止
SQL注入的策略,这是造成sql语法错误的原因之一。
二、解决问题
一开始,我觉得的思路是替换掉 ' , 于是对 搜索关键字 key 进行过滤处理如下: key = key.replaceAll(“'”,""); 确实也不会报错,
但是用户的搜索关键字是 ',你总不能强制过滤掉吧。于是上网搜索类似的问题,在谷歌开发者文档看到类似的说明,如下:
读者也可以点击 谷歌官方使用文档 查看具体介绍。
文档大致意思就是使用 ? 占位符去代替关键字,这样就可以防止SQL注入。
所以接下来我就更改了代码实现,如下:
String selection =
Columns.ID + " like ?" + " or " +
Columns.NAME + " like ?" + " or " +
Columns.NUM + " like ?";
String []selectionArgs = {"%" + key + "%", "%" + key + "%", "%" + key + "%"};
Cursor cursor =
context.getContentResolver().query(
URI,
null,
selection + ") group by (key",
selectionArgs,
null
);
通过使用上面的参数查询方式,就不用再害怕SQL的注入还有特殊字符的影响了。
已经很久没有写过博客了,希望大家能够指出我的不足之处!