在安卓开发中，数据库查询功能的完整代码应该怎么实现？

在安卓应用开发中，数据持久化是不可或缺的一环，无论是用户信息、设置偏好还是缓存内容，都需要一个可靠的存储方案，SQLite 作为安卓内置的轻量级关系型数据库，是处理结构化数据的首选，直接操作原生 SQLite API 相对繁琐且容易出错，掌握如何高效、安全地编写数据库查询代码至关重要，本文将详细介绍两种主流的实现方式：Google 推荐的 Room 持久化库和传统的 SQLiteOpenHelper 方法,并提供清晰的代码示例与最佳实践。

使用Room持久化库（现代化推荐方案）

Room 是一个在 SQLite 上提供的抽象层，它极大地简化了数据库操作，并利用注解在编译时验证 SQL 语句，从而减少了运行时错误，Room 主要包含三个核心组件：

• Entity：代表数据库中的表。
• DAO (Data Access Object)：包含访问数据库的方法。
• Database：持有数据库并作为应用持久化数据底层连接的主要访问点。

查询逻辑主要在 DAO 接口中定义，通过使用 @Query 注解，我们可以直接编写 SQL 语句，Room 会自动处理其余工作。

定义实体 (Entity)

我们需要一个数据模型类来映射数据库表。

@Entity(tableName = "users")
public class User {
    @PrimaryKey(autoGenerate = true)
    private int id;
    @ColumnInfo(name = "user_name")
    private String name;
    private int age;
    // Getters and Setters...
}

定义数据访问对象 (DAO)

这是编写查询代码的核心，我们创建一个接口，并用 @Dao 注解。

@Dao
public interface UserDao {
    // 查询所有用户，返回一个列表
    @Query("SELECT * FROM users")
    List<User> getAllUsers();
    // 根据ID查询特定用户，返回单个对象
    @Query("SELECT * FROM users WHERE id = :userId")
    User findUserById(int userId);
    // 根据年龄范围查询用户，使用多个参数
    @Query("SELECT * FROM users WHERE age BETWEEN :minAge AND :maxAge")
    List<User> findUsersByAge(int minAge, int maxAge);
    // 查询所有用户并按名字排序
    @Query("SELECT * FROM users ORDER BY user_name ASC")
    List<User> getAllUsersSortedByName();
    // 模糊查询，查找名字包含特定字符串的用户
    @Query("SELECT * FROM users WHERE user_name LIKE '%' || :keyword || '%'")
    List<User> searchUsersByName(String keyword);
    // 使用LiveData进行响应式查询，当数据变化时UI会自动更新
    @Query("SELECT * FROM users")
    LiveData<List<User>> observeAllUsers();
}

在 @Query 注解中，userId、minAge 等是命名参数，它们会自动映射到方法签名中同名的参数上，这种方式不仅代码可读性高，Room 会在编译时检查这些 SQL 语句的正确性，避免了运行时才发现 SQLSyntaxErrorException 的尴尬。

直接使用SQLite API（传统方案）

在 Room 出现之前，开发者通常通过继承 SQLiteOpenHelper 类来管理数据库的创建和版本更新，查询操作则通过 SQLiteDatabase 对象的 query() 或 rawQuery() 方法完成。

创建 SQLiteOpenHelper 子类

public class MyDbHelper extends SQLiteOpenHelper {
    private static final String DATABASE_NAME = "my_app.db";
    private static final int DATABASE_VERSION = 1;
    public MyDbHelper(Context context) {
        super(context, DATABASE_NAME, null, DATABASE_VERSION);
    }
    @Override
    public void onCreate(SQLiteDatabase db) {
        // 创建表的SQL语句
        String CREATE_USERS_TABLE = "CREATE TABLE users (" +
                "id INTEGER PRIMARY KEY AUTOINCREMENT," +
                "user_name TEXT," +
                "age INTEGER)";
        db.execSQL(CREATE_USERS_TABLE);
    }
    @Override
    public void onUpgrade(SQLiteDatabase db, int oldVersion, int newVersion) {
        // 升级数据库的逻辑
        db.execSQL("DROP TABLE IF EXISTS users");
        onCreate(db);
    }
}

执行查询操作

查询后，你需要手动处理一个 Cursor 对象来遍历结果集。

public List<User> getUsersOldWay(Context context) {
    List<User> userList = new ArrayList<>();
    MyDbHelper dbHelper = new MyDbHelper(context);
    SQLiteDatabase db = dbHelper.getReadableDatabase();
    // 定义要查询的列
    String[] columns = {"id", "user_name", "age"};
    // 定义查询条件
    String selection = "age > ?";
    String[] selectionArgs = {"18"}; // 查询年龄大于18的用户
    // 定义排序方式
    String sortOrder = "user_name DESC";
    Cursor cursor = db.query(
            "users",        // 表名
            columns,        // 要查询的列
            selection,      // WHERE子句
            selectionArgs,  // WHERE子句的参数
            null,           // GROUP BY
            null,           // HAVING
            sortOrder       // ORDER BY
    );
    // 遍历Cursor
    if (cursor.moveToFirst()) {
        do {
            int id = cursor.getInt(cursor.getColumnIndexOrThrow("id"));
            String name = cursor.getString(cursor.getColumnIndexOrThrow("user_name"));
            int age = cursor.getInt(cursor.getColumnIndexOrThrow("age"));
            userList.add(new User(id, name, age));
        } while (cursor.moveToNext());
    }
    cursor.close();
    db.close();
    return userList;
}

使用 rawQuery() 可以直接执行完整的 SQL 语句，但同样需要手动处理 Cursor。

Cursor cursor = db.rawQuery("SELECT * FROM users WHERE user_name LIKE ?", new String[]{"%张%"});
// ... 处理Cursor的逻辑同上 ...

方案对比与最佳实践

为了更直观地理解两种方案的差异,下表进行了详细对比：

特性	Room 持久化库	原生 SQLite API
易用性	高，通过注解极大简化代码	低，需要编写大量模板代码
编译时检查	支持，SQL语句在编译时被验证	不支持，运行时才能发现SQL错误
类型安全	强，返回值直接映射到Java/Kotlin对象	弱，需手动从Cursor中获取数据，易出错
线程安全	自动处理，支持主线程安全查询	需开发者手动管理，容易在主线程操作
响应式编程	原生支持LiveData和Flow	不支持，需手动实现观察者模式
代码维护性	高，逻辑清晰，结构化	低，SQL和Java代码混杂，难以维护

最佳实践小编总结：

1. 优先使用 Room：对于所有新项目，强烈推荐使用 Room,它提供的抽象层和编译时检查能显著提升开发效率和应用的稳定性。
2. 参数化查询：无论使用哪种方式，都应使用参数化查询（如 userId 或 占位符）来传递变量，这是防止 SQL 注入攻击的关键。
3. 善用响应式组件：结合 Room 的 LiveData 或 Flow，可以轻松构建数据驱动的UI，当数据库数据变化时，界面会自动刷新,无需手动控制。

---

相关问答 (FAQs)

为什么说 Room 比直接使用 SQLite 更安全？

解答： Room 的安全性主要体现在两个方面，首先是 编译时验证，Room 会在应用编译时检查 @Query 注解中的 SQL 语句是否存在语法错误、表名或列名是否匹配，这能将大量运行时才暴露的数据库错误提前到开发阶段解决，其次是 类型安全，Room 会自动将查询结果（Cursor）映射到你定义的 Java/Kotlin 对象（Entity）上，避免了手动从 Cursor 获取数据时可能出现的列名拼写错误或类型不匹配问题，从而减少了 IllegalArgumentException 和 IllegalStateException 的风险。

在使用原生 SQLite 的 rawQuery() 时，如何有效防止 SQL 注入？

解答： 防止 SQL 注入的核心原则是 永远不要直接将用户输入或不可信的字符串拼接到 SQL 语句中，正确的做法是使用参数化查询，在 rawQuery() 方法中，使用 作为占位符来代替需要插入变量的位置，然后将这些变量作为 selectionArgs 字符串数组传入。db.rawQuery("SELECT * FROM users WHERE name = ?", new String[]{userName})，这样，SQLite 数据库驱动会负责将参数安全地绑定到 SQL 语句中，即使用户输入 userName 包含恶意的 SQL 代码，它也只会被当作一个普通的字符串来处理，而不会被当作 SQL 命令执行，从而杜绝了 SQL 注入的风险。