是否可以在没有游标的情况下检查sqlite值？ - Android

Question

我试图阻止用户输入日历中预约创建应用中的“标题”字段的相同字符串值作为作业。

这是我认为的迄今：

private static String[] CHECK = {TITLE}; 
    private Cursor addAppointment(String title, String time, String details){ 
     calendarData = new CalendarData(this); 
     SQLiteDatabase db1 = calendarData.getReadableDatabase(); 
     SQLiteDatabase db = calendarData.getWritableDatabase(); 
     ContentValues values = new ContentValues(); 
     values.put(DATE, calendar.getDate()); 
     values.put(TITLE, title); 
     values.put(TIME, time);  
     values.put(DETAILS, details); 
     db.insertOrThrow(TABLE_NAME, null, values); 
     Cursor titleCursor = db1.query(TABLE_NAME, CHECK, TITLE+" = "+appointmentTitle.getText().toString(), null, null, null, null); 
     if(titleCursor.getString(0) != null){//MEANING THERE IS A DUPLICATE 
      final AlertDialog alertDialog = new AlertDialog.Builder(this).create(); 
      alertDialog.setMessage("You've entered a duplicate title field, please rename."); 
      alertDialog.setButton("OK", new DialogInterface.OnClickListener() { 
        public void onClick(DialogInterface dialog, int which) { 

        alertDialog.dismiss(); 

       } }); 
      alertDialog.show(); 
     } 
     return titleCursor; 
    } 

，但我不喜欢在我的addAppointments方法一切的想法，我宁愿把它干净和简单。

我试着做以下作为替代：

private static String[] CHECK = {TITLE}; 
    private void addAppointment(String title, String time, String details){ 
     calendarData = new CalendarData(this); 
     SQLiteDatabase db1 = calendarData.getReadableDatabase(); 
     SQLiteDatabase db = calendarData.getWritableDatabase(); 
     ContentValues values = new ContentValues(); 
     values.put(DATE, calendar.getDate()); 
     values.put(TITLE, title); 
     values.put(TIME, time);  
     values.put(DETAILS, details); 
     db.insertOrThrow(TABLE_NAME, null, values); 
    } 

    private Cursor checkTitle(){ 
     calendarData = new CalendarData(this); 
     SQLiteDatabase db1 = calendarData.getReadableDatabase(); 

     Cursor titleCursor = db1.query(TABLE_NAME, CHECK, TITLE+" = "+appointmentTitle.getText().toString(), null, null, null, null); 

     startManagingCursor(titleCursor); 
     return titleCursor; 
    } 

    private void showTitleError(Cursor cursor){ 
     if(cursor.getString(0) != null){//MEANING THERE IS A DUPLICATE 
      final AlertDialog alertDialog = new AlertDialog.Builder(this).create(); 
      alertDialog.setMessage("You've entered a duplicate title field, please rename."); 
      alertDialog.setButton("OK", new DialogInterface.OnClickListener() { 
        public void onClick(DialogInterface dialog, int which) { 

        alertDialog.dismiss(); 

       } }); 
      alertDialog.show(); 
     } 
    } 

，但我在这两种情况下出现此错误：04-24 17：56：51.263：E/AndroidRuntime（17856）：android.database.sqlite .SQLiteException：没有这样的列：你好：，在编译时：SELECT标题FROM约会WHERE标题=你好

请如果你有什么建议请分享，谢谢。

Answer 1

您需要在单引号包裹appointmentTitle.getText().toString()：

db1.query(TABLE_NAME, CHECK, TITLE+" = '"+appointmentTitle.getText().toString() + "'", null, null, null, null); 

这样，你的组合查询看起来像：

SELECT title FROM appointments WHERE title = 'hello' 

正如其他海报礼貌指出，然而，这可能会导致一个SQL注入问题，如果您的查询在这里需要用户输入。适应参数化方法是更好的方法。

Answer 2

如果你想让它注射安全使用它的方式

Cursor titleCursor = db1.query(TABLE_NAME, CHECK, TITLE+" = ?", 
     new String[]{ appointmentTitle.getText().toString() }, null, null, null); 

的?由' -quoted和转义的数据从一个参数取代。

提示：如果你想强制一个独特的标题，然后使数据库列UNIQUE。这样，当您的insert数据具有已存在的标题时，您将获得SQLiteException。您也可以将列UNIQUE ON CONFLICT IGNORE这意味着它不会插入数据，也不会引发错误，而不是预期。