web-dev-qa-db-ja.com

Android SQLite select *準備されたステートメントを使用して%key%のような名前のテーブルから*

Android SQLiteデータベースでのSQLインジェクションを防ぐために準備されたステートメントを使用したいのですが、クエリにLikeが含まれ、Where name = ?で動作する場合、rawqueryがクラッシュしますAndroid SQLite db?

これはクエリです:

sqlQuery = "SELECT * FROM " + TABLE_CALLS + " where " + CALLER_NAME + " like ? COLLATE NOCASE or " + CALLER_NBR + " like ? or " + CALLER_EXT + " like ?" + " or " + IS_OUTGOING + " like ?  COLLATE NOCASE or " + TYPE + " like ? COLLATE NOCASE";

Cursor cursor = database.rawQuery(sqlQuery, new String[]{"%" + criterion + "%", "%" + criterion + "%","%" + criterion + "%","%" + criterion + "%","%" + criterion + "%"});

バインドまたは列のインデックスが範囲外です。ありがとうございます。

9
    if (name.length() != 0) {

        name = "%" + name + "%";
    }
    if (email.length() != 0) {
        email = "%" + email + "%";
    }
    if (Phone.length() != 0) {
        Phone = "%" + Phone + "%";
    }
    String selectQuery = " select * from tbl_Customer where Customer_Name like  '"
            + name
            + "' or Customer_Email like '"
            + email
            + "' or Customer_Phone like '"
            + Phone
            + "' ORDER BY Customer_Id DESC";

    Cursor cursor = mDb.rawQuery(selectQuery, null);`
21
Digvesh Patel

試す

Cursor cursor = database.rawQuery(sqlQuery, new String[]{"'%" + criterion + "%'", 
   "'%" + criterion + "%'",
   "'%" + criterion + "%'",
   "'%" + criterion + "%'",
   "'%" + criterion + "%'"});

前後に「」がありません。

7
Anirudha Agashe

のようにしてみてください。

String[] a = new String[5];
a[0]       = '%' + criterion + '%';
a[1]       = '%' + criterion + '%';
a[2]       = '%' + criterion + '%';
a[3]       = '%' + criterion + '%';
a[4]       = '%' + criterion + '%';
Cursor cursor = database.rawQuery(sqlQuery,a);
1
Talha