android sqlite 使用db.update多条件参数

(写在最初:如果还不明白db.update方法的四个参数的具体解释,请查看源码或baidu,文章不少)

最初使用update是这样写的

SQLiteDatabase db = DatabaseHelper.getWdb();
        String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");
        String tid = b.getInput_content().getId();
        MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

        StringBuilder buf = new StringBuilder();
        buf.append("UPDATE " + DatabaseSchema.TABLE_TALKS.NAME);
        buf.append(" SET " + DatabaseSchema.TABLE_TALKS.COLUMN_TID);
        buf.append(" = '#" + tid + "', ");
        buf.append(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED);
        buf.append(" = '" + str_time + "'");
        buf.append(" WHERE " + DatabaseSchema.TABLE_TALKS.COLUMN_TID);
        buf.append(" = '#100'");
        buf.append(" AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID);
        buf.append(" = '" + b.getStorage_id() + "'");
        db.execSQL(buf.toString());
        db.close();

这样写是没问题的,自行拼接sql语句,然后用execSQL执行
但这样有一个潜在的风险,execSQL方法并不区分具体要做什么,只是执行语句,所以有被注入的风险。(详见《阿里巴巴Android开发手册》六-9)


QQ截图20190524151158.png

因此决定改用db.update(String table, ContentValues values, String whereClause, String[] whereArgs)方法,问题来了,各种攻略给出的写法类似

ContentValues cv = new ContentValues();
cv.put("username", "c");
cv.put("password", "d");
String[] args = {String.valueOf("a")};
update("user",cv, "username=?",args)

这样,找了很久都没找到如何将where写入多条件的方法,于是自己各种尝试....(具体尝试的过程就不放出来了,都是反面教材)
这里将正确的两种写法给出来供大家参考:
1:

SQLiteDatabase db = DatabaseHelper.getWdb();
        String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");
        String tid = b.getInput_content().getId();
        MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

        ContentValues values = new ContentValues();
        values.put(DatabaseSchema.TABLE_TALKS.COLUMN_TID, "#" + tid);
        values.put(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED, str_time);
        String whereClause = DatabaseSchema.TABLE_TALKS.COLUMN_TID + "='#100' AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID + "='" + b
                .getStorage_id() + "'";
        db.update(DatabaseSchema.TABLE_TALKS.NAME, values, whereClause, null);
        db.close();

这种方法不传入args,将所有条件拼在whereClause 字段中,作为update的第三个参数,这种方法虽然可以正确执行,但是感觉没有用上args,血统不纯正
2:

  SQLiteDatabase db = DatabaseHelper.getWdb();
        String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");
        String tid = b.getInput_content().getId();
        MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

        ContentValues values1 = new ContentValues();
        values1.put(DatabaseSchema.TABLE_TALKS.COLUMN_TID, "#" + tid);
        values1.put(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED, str_time);
        String[] whereArgs1 = {"#100", b.getStorage_id()};
        String whereClause1 = DatabaseSchema.TABLE_TALKS.COLUMN_TID + "=? AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID + "=?";
        db.update(DatabaseSchema.TABLE_TALKS.NAME, values1, whereClause1, whereArgs1);
        db.close();

这种写法,将args拼入whereClause1 的?中,应该与官方例子的思路一致,建议大家用第二种方法。

同理,db的select(query)、delete的写法也与例子中给出的写法相同。

以上 by:Miyok

你可能感兴趣的:(android sqlite 使用db.update多条件参数)