最近,虽然我的android应用程序审核程序的源代码审核提出了一些诸如路径操纵,隐私侵犯攻击之类的观点?
最近几天以来,我一直在寻找适当的解决方案,但找不到任何有效的解决方案。请为我以下查询提供解决方案。
1. File f = new File("filepath");
如何防止攻击者操纵文件路径?
2. private void selectDataFromDB(String param1,String param2){
sqlitedatabase.query("Select * from tbl1 where col1 LIKE ? and colu2 LIKE ?",new String[]{param1,param2});
}
如何验证参数以使攻击者无法更改此参数? 投入消毒?如何申请?
Edit1:
selectDataFromDB()中的方法MyActivity.java处理了机密信息,这会损害用户的隐私,而且通常是非法的。
答案 0 :(得分:0)
他们建议我进行输入卫生处理。
使用查询参数时无需清理输入。这是使用参数化SQL语句的最佳理由之一。查询参数的值无法更改SQL语法。
您的审计师可能不了解how SQL injection works。