android sqlite 参数,android sqlite 使用db.update多条件参数

(写在最初：如果还不明白db.update方法的四个参数的具体解释，请查看源码或baidu，文章不少)

最初使用update是这样写的

SQLiteDatabase db = DatabaseHelper.getWdb();

String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");

String tid = b.getInput_content().getId();

MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

StringBuilder buf = new StringBuilder();

buf.append("UPDATE " + DatabaseSchema.TABLE_TALKS.NAME);

buf.append(" SET " + DatabaseSchema.TABLE_TALKS.COLUMN_TID);

buf.append(" = '#" + tid + "', ");

buf.append(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED);

buf.append(" = '" + str_time + "'");

buf.append(" WHERE " + DatabaseSchema.TABLE_TALKS.COLUMN_TID);

buf.append(" = '#100'");

buf.append(" AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID);

buf.append(" = '" + b.getStorage_id() + "'");

db.execSQL(buf.toString());

db.close();

这样写是没问题的，自行拼接sql语句，然后用execSQL执行

但这样有一个潜在的风险，execSQL方法并不区分具体要做什么，只是执行语句，所以有被注入的风险。(详见《阿里巴巴Android开发手册》六-9)

QQ截图20190524151158.png

因此决定改用db.update(String table, ContentValues values, String whereClause, String[] whereArgs)方法，问题来了，各种攻略给出的写法类似

ContentValues cv = new ContentValues();

cv.put("username", "c");

cv.put("password", "d");

String[] args = {String.valueOf("a")};

update("user",cv, "username=?",args)

这样，找了很久都没找到如何将where写入多条件的方法，于是自己各种尝试....(具体尝试的过程就不放出来了，都是反面教材)

这里将正确的两种写法给出来供大家参考：

1：

SQLiteDatabase db = DatabaseHelper.getWdb();

String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");

String tid = b.getInput_content().getId();

MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

ContentValues values = new ContentValues();

values.put(DatabaseSchema.TABLE_TALKS.COLUMN_TID, "#" + tid);

values.put(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED, str_time);

String whereClause = DatabaseSchema.TABLE_TALKS.COLUMN_TID + "='#100' AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID + "='" + b

.getStorage_id() + "'";

db.update(DatabaseSchema.TABLE_TALKS.NAME, values, whereClause, null);

db.close();

这种方法不传入args，将所有条件拼在whereClause 字段中，作为update的第三个参数，这种方法虽然可以正确执行，但是感觉没有用上args，血统不纯正

2：

SQLiteDatabase db = DatabaseHelper.getWdb();

String str_time = TimeUtils.getStrTime("" + b.getInput_content().getCreated(), "yyyy-MM-dd HH:mm:ss");

String tid = b.getInput_content().getId();

MyLog.e("resetTalkInfo str_time = " + str_time + " tid = " + tid);

ContentValues values1 = new ContentValues();

values1.put(DatabaseSchema.TABLE_TALKS.COLUMN_TID, "#" + tid);

values1.put(DatabaseSchema.TABLE_TALKS.COLUMN_CREATED, str_time);

String[] whereArgs1 = {"#100", b.getStorage_id()};

String whereClause1 = DatabaseSchema.TABLE_TALKS.COLUMN_TID + "=? AND " + DatabaseSchema.TABLE_TALKS.COLUMN_STORAGEID + "=?";

db.update(DatabaseSchema.TABLE_TALKS.NAME, values1, whereClause1, whereArgs1);

db.close();

这种写法，将args拼入whereClause1 的？中，应该与官方例子的思路一致，建议大家用第二种方法。

同理，db的select(query)、delete的写法也与例子中给出的写法相同。

以上 by：Miyok