一、简介
Android App 本地数据存储是使用 SQLite 数据库,SQLite 是遵守ACID 的关系数据库管理系统,它包含在一个相对小的 C 程序库中。与许多其他数据库管理系统不同,SQLite 不是一个客户端/服务端结构的数据库引擎,而是被集成在用户程序中。
在 Android 中选择 SQLite 的原因是其内存占用较低不需要设置或配置数据库,并且可以在应用程序中直接调用。
二、获取 SQLite 文件
SQLite 数据库默认在 Android 中存储在 /data/data/[package name]/databases/ 位置,拓展名为 .db 文件,注意 Android 设备需要root。
1、进入设备的 /data/data目录,查找对应的测试包.
2、这里获取包 com.xueqiu.android 的db文件为例,进入包文件 databases 目录内部可以看到如下 db 文件。
3、退出adb shell ,将需要的db文件拷贝出来
三、查看SQLite 文件
导出 db 文件后可以使用 DB Browser for SQLite 来查看数据内容。
下载地址 https://sqlitebrowser.org/dl/ 根据自己的系统版本来选择安装即可。
1、启动应用,依次点击菜单栏: 文件->打开数据库,选择打开拷贝出来的db文件即可查看数据库表结构和内容
2、点击 浏览数据 菜单可以查看表具体数据内容,或者点击 执行SQL 进行查询
四、SQLite 数据安全
SQL注入
如果通过应用获取用户输入的数据并将其插入 SQLite数据库,就有可能发生SQL注入攻击的安全问题。
SQL注入,就是通过把SQL命令插入到表单提交或者输入域名的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令
例如,有一个表单,用户可以输入name
$name = $_GET['name'];
$dbh->query("SELECT * FROM users WHERE name='{$name}'");
那么当用户输入的name为 python';DELETE FROM user; ' 时会变成什么?
SELECT * FROM users WHERE name='python';DELETE FROM user;'';
这条语句执行运行一下,会把我们的user 表清空。
五、预防SQL注入
防止 SQL 注入,需要注意以下几个要点:
1、不要相信用户的输入
2、对用户的输入进行校验,可以通过正则表达式,或者限制长度;对单引号和双引号进行转换等。
3、不要使用动态拼装 SQL ,可以使用 SQL 预处理语句
4、不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
5、不要把机密信息直接存放,加密或者 hash 掉密码和敏感的信息。
6、应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
