http://localhost/hoge/Hoge.php?no=1 or+1%3d1%23
とすると、テーブルの全部のレコードが表示されてしまいます。
$dsn = sprintf(
'mysql:host=%s;dbname=%s;charset=utf8;port=3306;charset=utf8',
DB_HOST,
DB_NAME);
$option = array(
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::ATTR_EMULATE_PREPARES => false
);
$this->db = new PDO($dsn,DB_USER, DB_PASS,$option);
としているのですが、対策があれば教えてください。なお、sql文では、bindValue関数で変数をバインドしてあります。.htaccessでURLを書き換えるしかないでしょうか?-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
0
のであれば、
bindValue
での引数に PDO::PARAM_INT
を付けるなどしていますでしょうか?
または、
$no = intval($no);
のように、整数にキャストする方法もあるかとは思います。
もう少し情報が欲しいところです。
実際にどういう SQL を、どう作って発行していますか?
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 90.36%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2015/06/12 23:29
PDO::PARAM_INTをつけて、$no = intval($no);でキャストしてみましたが、やはり、症状は同じようです。下のようにsqlを作っております。
try{
$to = $_SESSION['AITE'];
$post_id = $_SESSION['no'];
$post_id = intval($post_id);
$sql = $this->db->prepare("SELECT * FROM comment_table where rcv_mem_id=:to or pst_mem_id=:to order by post_id desc limit 20");
}catch(Exception $e){
die($e->getMessage());
}
$sql->bindParam(':to',$to, PDO::PARAM_INT);
//$stmt = $pdo->prepare($sql);
$sql->execute();
2015/06/12 23:44
2015/06/13 00:30