Вопросы Теги

Создание безопасных SQL-операторов как строки

Используя CoordinatorLayout, вы должны попытаться установить привязку FloatingActionButtons для ссылки на LinearLayout и использовать layout_anchorGravity для позиционирования FAB.

Пример кода для вашего FAB: 

<android.support.design.widget.FloatingActionButton
        android:id="@+id/fab"
        android:layout_width="wrap_content"
        android:layout_height="wrap_content"
        app:layout_anchor="@id/linearLayoutID"
        app:layout_anchorGravity="bottom|right|end"
        android:layout_margin="16dp"
        android:src="@drawable/icons8_share_480"
        />

Не забудьте установить идентификатор для вас LinearLayout. Я использовал @id/linearLayoutID в качестве заполнителя.

11
задан Community 23 May 2017 в 11:54
поделиться

4 ответа

Используйте параметризованные команды. Передайте параметры своему удаленному серверу также и заставьте это звонить в SQL Server, все еще поддержав различие между самим SQL и значениями параметров.

Пока Вы никогда не смешиваете данные обработки как код, необходимо быть хорошо.

7
ответ дан 3 December 2019 в 03:05
поделиться

Для предотвращения инжекции необходимо поставить данные в удаленный сервер (возможно, в XML) и затем на удаленном сервере, данные должны преобразовываться назад для адаптации типов данных и использоваться в параметризированных запросах или храниться procs.

0
ответ дан 3 December 2019 в 03:05
поделиться

Создайте свой объект SqlCommand как так:

SqlCommand cmd = new SqlCommand(
        "INSERT INTO Employees (id, name) VALUES (@id, @name)", conn);

SqlParameter param  = new SqlParameter();
param.ParameterName = "@id";
param.Value         = employee.ID;

cmd.Parameters.Add(param);

param  = new SqlParameter();
param.ParameterName = "@name";
param.Value         = employee.Name;

cmd.Parameters.Add(param);

cmd.ExecuteNonQuery();
17
ответ дан 3 December 2019 в 03:05
поделиться

Хм я соглашаюсь со всеми остальными, что Вы должны использовать параметризированные запросы и оставите его в этом. Но как Вы идете, передают эти sql операторы Вашему удаленному серверу? У Вас есть некоторый тип сервиса как веб-сервис, который примет и выполнит произвольные команды Sql, или Ваше клиентское приложение собирается поразить DB непосредственно?

Если Ваше прохождение через своего рода прокси затем, неважно, насколько Вы санируете свои данные по клиенту, хакеру, могло просто обойти Ваше приложение и поразить сервис. В этом случае сделайте то, что рекомендует Cade, и передайте данные как XML, например, или безотносительно формата, который Вы выбираете (JSON, Двоичный файл и т.д.) Затем создают Ваш SQL прямо перед фактическим выполнением команды.

1
ответ дан 3 December 2019 в 03:05
поделиться
Другие вопросы по тегам:

Похожие вопросы: