【问题标题】:User-entered apostrophe crashes android app (SQL-related)用户输入的撇号使 android 应用程序崩溃(与 SQL 相关)
【发布时间】:2011-09-21 20:56:12
【问题描述】:

我的应用程序当前使用 SQLite 数据库为用户存储消息。但是,如果用户在任何字段中输入撇号,数据库就会崩溃。我意识到这个问题是由于 SQLite 使用撇号作为引号分隔符(我在存储的消息文本周围放置了一个撇号),但想不出任何好的方法来解决这个问题。在 SQLite 数据库中存储带有撇号的字符串是否有一种常见的做法?

这是我收到的错误示例:

java.lang.RuntimeException: Unable to resume activity {x.x.x.x/x.x.x.x.Main}: android.database.sqlite.SQLiteException: near "m": syntax error: , while compiling: SELECT title, contact_name, contact_number FROM contacts WHERE title='I'm at work'
at android.app.ActivityThread.performResumeActivity(ActivityThread.java:3128)
at android.app.ActivityThread.handleResumeActivity(ActivityThread.java:3143)
at android.app.ActivityThread.handleLaunchActivity(ActivityThread.java:2684)
at android.app.ActivityThread.access$2300(ActivityThread.java:125)
at android.app.ActivityThread$H.handleMessage(ActivityThread.java:2033)
at android.os.Handler.dispatchMessage(Handler.java:99)
at android.os.Looper.loop(Looper.java:123)
at android.app.ActivityThread.main(ActivityThread.java:4627)
at java.lang.reflect.Method.invokeNative(Native Method)
at java.lang.reflect.Method.invoke(Method.java:521)
at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:859)
at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:617)
at dalvik.system.NativeStart.main(Native Method)
Caused by: android.database.sqlite.SQLiteException: near "m": syntax error: , while compiling: SELECT title, contact_name, contact_number FROM contacts WHERE title='I'm at work'
at android.database.sqlite.SQLiteCompiledSql.native_compile(Native Method)
at android.database.sqlite.SQLiteCompiledSql.compile(SQLiteCompiledSql.java:91)
at android.database.sqlite.SQLiteCompiledSql.<init>(SQLiteCompiledSql.java:64)
at android.database.sqlite.SQLiteProgram.<init>(SQLiteProgram.java:80)
at android.database.sqlite.SQLiteQuery.<init>(SQLiteQuery.java:46)
at android.database.sqlite.SQLiteDirectCursorDriver.query(SQLiteDirectCursorDriver.java:42)
at android.database.sqlite.SQLiteDatabase.rawQueryWithFactory(SQLiteDatabase.java:1454)
at android.database.sqlite.SQLiteDatabase.queryWithFactory(SQLiteDatabase.java:1338)
at android.database.sqlite.SQLiteDatabase.query(SQLiteDatabase.java:1293)
at android.database.sqlite.SQLiteDatabase.query(SQLiteDatabase.java:1373)
... 19 more

【问题讨论】:

    标签: android sql sqlite


    【解决方案1】:

    请参阅this 问题 - 有很多答案可以帮助您。

    具体讲到使用 DatabaseUtils.sqlEscapeString 或:

    uservalue = getText().tostring();
    uservalue = uservalue.replace("'","\'");
    //execute query...
    

    【讨论】:

    • 感谢您的链接。我到处搜索类似的问题,但我搜索的是“撇号”而不是“单引号”。
    • 太棒了 :) 没问题 - 这个投票标志着我的 > 2000 代表标记。哇哦。
    • DatabaseUtils.sqlEscapeString 对我来说是最简单的解决方案,FTW
    【解决方案2】:

    一般数据库指南(和安全编码指南)有助于防止这种情况发生,因为导致错误的同一件事可能会被用于 SQL 注入攻击。最常见的防御措施是(按照 OWASP 指南的优先顺序):

    1. 使用参数化存储过程
    2. 如果数据库引擎支持,请使用参数化查询。
    3. 作为最后的手段,转义字符串(实现取决于数据库引擎。)

    SQLLite 支持选项 2 和 3。

    从此页面:http://www.sqlite.org/lang_expr.html

    字符串常量是通过将字符串用单引号括起来形成的 (')。字符串中的单引号可以通过将两个 连续单引号 - 如在 Pascal 中。不支持使用反斜杠字符的 C 样式转义,因为它们不是标准 SQL。

    所以O'Brien 将在您的 SQL 语句中输入为 O''Brien

    在此页面中,您可以使用参数化查询:http://www.sqlite.org/limits.html

    插入 tab1 值(?,?,?);

    然后使用 sqlite3_bind_XXXX() 函数来绑定你的大字符串 SQL 语句的值。使用绑定避免了需要 转义字符串中的引号字符,降低 SQL 的风险 注入攻击。它也运行得更快,因为大字符串确实 不需要太多的解析或复制。

    【讨论】:

    • 是否已确认两个单引号可以在 android SQLite 引擎上工作?我可以将其用作可行的解决方案。
    • 我尝试了\',但没有成功。 '' 在 Android SQLite 上工作。
    【解决方案3】:

    一行最简单的代码:

    String s = editText.getText().toString().replace("'","\'");
    

    【讨论】:

      【解决方案4】:

      只需使用android标准API作为

      userInput = android.database.DatabaseUtils.sqlEscapeString(userInput);
      

      它会解决你的问题。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2016-01-14
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2013-09-16
        • 1970-01-01
        • 2018-06-23
        • 1970-01-01
        相关资源
        最近更新 更多