Android应用程序已经使用ActiveAndroid开发
public static List<ModelNames> search(String pattern) {
return new Select().from(ModelNames.class)
.where("title LIKE '%" + pattern + "%' or content LIKE '%" + pattern + "%'")
.orderBy("title")
.execute();
}
现在它容易出现sql注入.
有没有人遇到类似的问题并找到了解决方案,或者任何人都可以为此提供解决方案?
解决方法:
examples on the website显示了如何使用占位符:
public static List<ModelNames> search(String pattern) {
pattern = "%" + pattern + "%";
return new Select().from(ModelNames.class)
.where("title LIKE ? or content LIKE ?", pattern, pattern)
.orderBy("title")
.execute();
}