0

最近,虽然我的 android 应用程序审计员的源代码审计提出了一些问题,例如路径操纵、隐私侵犯攻击?

自最近几天以来,我一直在寻找合适的解决方案,但找不到任何富有成效的解决方案。请为我提供以下查询的解决方案。

1. File f = new File("filepath");

如何防止攻击者操纵文件路径?

2. private void selectDataFromDB(String param1,String param2){
  sqlitedatabase.query("Select * from tbl1 where col1 LIKE ? and colu2 LIKE   ?",new String[]{param1,param2});
}

如何验证参数以使攻击者无法更改此参数?输入消毒 ? 如何应用它?

编辑1:

错误处理机密信息的方法可能会损害用户隐私并且通常是非法selectDataFromDB()的。MyActivity.java

4

1 回答 1

0

他们建议我应用输入清理。

使用查询参数时,您不需要清理输入。这是使用参数化 SQL 语句的最佳理由之一。查询参数的值不可能更改 SQL 语法。

您的审计员可能不了解SQL 注入的工作原理

于 2018-07-17T22:40:22.580 回答