1,android四大组件Activity,Service,BroadcastReceiver,ContentProvider.
1)如果组件不允许其他任何app调用的话,可将android:exported="false"
2)如果组件仅仅对自己相同签名的app开放的话,可以使用自定义权限并把权限级别声明为android:protectionLevel="signature"
3)其他场景可以视情况修改保护级别。
4)对于ContentProvider可以将权限限制粒度到具体的path上。
<provider ..>
<grant-uri-permission android:path="path-name" />
</provider>
2,防止sql注入攻击方法:避免使用SQLiteDatabase,rawQuery(),而应该使用SQLiteDatabase的query,insert,update,delete方法。