Является ли метод query()
предоставленным SQLiteDatabase
классом безопасным для использования, не беспокоясь о SQL-инъекциях?Является ли это заявление SQL SQL уязвимым для SQL-инъекции?
db.query(TABLE,cols,COL_ID + " = '" + id + "' AND " + COL_FROM + " = '" + from + "'",null,null,null,null);
The id
и from
переменных полностью неэкранированный.
Или следующий безопасный путь?
"column=? OR column2=?",
new String[] {"value1", "value2"}
мне было интересно, если вы могли бы мне помочь с этим вопросом http://goo.gl/d5opg5. Я обещаю, что это не одно из вопросов «исправление для меня». – Axel