我正在将值插入MySql以进行注册。由于存在“单引号”问题,因此我使用了准备好的语句。通常我在使用addslashes,但它不适用于所有sql查询,仅适用于特定行。让我解释一下:
这是简单的注册活动。
我的代码在Android方面:
final String email=_email.getText().toString();
final String password=_password.getText().toString();
final String sqlcode ="Insert into login (email,password) VALUES ('"+email+"','"+password+"')";
final String sqllogin="SELECT email FROM login WHERE email= '"+email+"'";
@Override
protected Map<String, String> getParams() {
Map<String,String> params=new HashMap<>();
params.put("sqllogin",sqllogin);
params.put(getString(R.string.sqlcode),sqlcode);
return params;
}
我的代码的PHP端:
<?php
if ($_SERVER['REQUEST_METHOD'] =='POST'){
$sqllogin = $_POST["sqllogin"];
$sqlcode= $_POST["sqlcode"];
require_once 'connect.php';
mysqli_query($conn,"SET NAMES 'utf8'");
$stmtcheck = $conn->prepare($sqllogin);
$stmtcheck->execute();
$stmtcheck->store_result();
if ( $stmtcheck->num_rows >0) { // if email exists
$result["message"] = "duplicate";
echo json_encode($result);
mysqli_close($conn);
$stmtcheck->close();
}
else //if email !exists create one
{
$stmtcheck->close();
$stmtadd = $conn->prepare($sqlcode);
if ($stmtadd->execute()) {
// it worked
$result["message"] = "success";
echo json_encode($result);
mysqli_close($conn);
$stmtadd->close();
} else {
// it didn't
$result["message"] = "error";
echo json_encode($result);
mysqli_close($conn);
$stmtadd->close();
}
}
}
?>
如您所见,我完全使用准备好的语句。但是我不明白为什么单引号没有插入数据库。 更奇怪的是:我可以插入双引号。
答案 0 :(得分:2)
您没有使用准备好的语句!您的应用是一场巨大的安全灾难,正在等待发生
您正在Android应用程序中生成SQL字符串,并将其发布到Web应用程序。 Web应用程序确实调用了$conn->prepare,但它使用的是完整的SQL语句,该语句是用其他地方的字符串修饰的。它没有任何用于参数绑定的占位符。
简而言之,您正在执行的是客户端信任的SQL命令。