PHP在sql查询中使用$ _GET返回没有结果

时间:2013-08-14 16:47:30

标签: java php android mysql sql

我有这个php文件,我在这个URL中发送一个名为user_email的变量:

的http:// * ** * ** * *** / android_connect / get_all_products。 php?user_email =“m”

通过我的Android应用程序代码。

然而,即使它应该返回一些数据,它返回我的“没有找到产品”!如果我使用test1查询,但它会返回正确的数据!我知道这些代码对于SQL注入是可以实现的,但我必须做些什么来修复它?请帮助我真的需要这个!!!!!!!

<?php

/*
 * Following code will list all the products
 */

// array for JSON response
$response = array();

$user_email = $_REQUEST['user_email'];
//echo $user_email;
// include db connect class
require_once __DIR__ . '/db_connect.php';

// connecting to db
$db = new DB_CONNECT();

// get all products from products table
$test = "SELECT *FROM products WHERE user_email= '" . $user_email . "'";


//$test1= "SELECT * FROM products where user_email='m'" ;


//echo $test;
$result = mysql_query($test) or die(mysql_error());


// check for empty result
if (mysql_num_rows($result) > 0) {
// looping through all results
// products node
    $response["products"] = array();

    while ($row = mysql_fetch_array($result)) {
        // temp user array
        $product = array();
        $product["pid"] = $row["pid"];
        $product["firstname"] = $row["firstname"];
        $product["lastname"] = $row["lastname"];
        $product["email"] = $row["email"];
        $product["phone"] = $row["phone"];
        $product["address"] = $row["address"];
        $product["created_at"] = $row["created_at"];
        $product["updated_at"] = $row["updated_at"];
        $product["user_email"] = $row["user_email"];


        // push single product into final response array
        array_push($response["products"], $product);
    }
// success
    $response["success"] = 1;

// echoing JSON response
    echo json_encode($response);
} else {
// no products found
    $response["success"] = 0;
    $response["message"] = "No products found";

// echo no users JSON
    echo json_encode($response);
}
?>

2 个答案:

答案 0 :(得分:1)

您在get请求中的电子邮件中有引号。

http://**********/android_connect/get_all_products.php?user_email="m"
                                                                  ^ ^

因此,mysql将寻找匹配"m"而不只是m的内容。

您应该从网址中删除引号或将其删除,然后再将其添加到查询中:

$user_email = trim($user_email, '"'); 

至少你应该在运行之前转义查询:

$test = mysql_real_escape_string($test); 
$result = mysql_query($test) or die(mysql_error());

答案 1 :(得分:-1)

的http:// <强> * *** /android_connect/get_all_products.php?user_email=的 “m”

echo $ user_email; //它是“m”

所以,现在SQL是

SELECT * FROM products其中user_email ='“m”'//“,”空结果

删除网址中的“”