rawQuery(sql, selectionArgs)文書を確認すると、私はselectionArgs
エスケープに関する明示的な声明は表示されません。SQLiteDatabase#rawQueryはselectionArgsをエスケープしますか(安全です)?
先にselectionArgs
をサニタイズする必要がありますか、またはrawgetがselectionArgs
の値を安全に使用して、SQLインジェクションを回避すると想定するのは安全ですか?
私はAndroid API 14+の実装に興味があり、古い1.xおよび2.x ROMのセキュリティバグは気にしません。
(私が最初String sql
パラメータの話ではない、1つは明らかに脆弱に見えますが、私は引数を消毒することを期待する、まだdeveloper.android.comにそれについてはドキュメントがありません)