Q&A
前提条件として、公式マニュアルは読んでますか?
PHPからMYSQLの操作についてです
SQL文で命令を出す際にあまりにまやり方が違うので質問させていただきます
前の参考書では
データベースにhtmlなどで書いた登録画面
$eはMYSQLえの接続変数です
$e->query("INSERT INTO TB1(name.pass) value('$a',"$q")");
でやっていたのですが
新しい参考書では
$sql='INSERT INTO mst_staff (name,password) VALUES (?,?)';
$stmt=$dbh->prepare($sql);
$data[]=$staff_name;
$data[]=$staff_pass;
$stmt->execute($data);
で仕組みがわかりません
どなたか仕組みを教えてください
泣き
SQL文で命令を出す際にあまりにまやり方が違う ?? ちょっと日本語がおかしくなっているので調整してください
参考書を丸写しするのが目的になってるからそのような事態になっているように思います。最初の書籍でどの程度理解できたのでしょうか?
回答ありがとうございます
SNSアプリが作れるぐらいです
で、何が分からないのでしょうか?そのようなアプリが作れるのであれば発生しそうな問題ではないように思いますが
prepare($sql);execute($data);の仕組みがわかりません
ずっとquery();でやっていたので
まず、参考書よりphpマニュアル読んでください。phpマニュアルが1番正しい参考書です。
読んで試してみて分からないところを質問してください(teratail利用の上での大前提です)
了解です初めて使うので色々ご不便をおかけしました
質問は編集できるので回答吟味する前に編集しておいてください
回答3件
0
https://qiita.com/mpyw/items/b00b72c5c95aac573b71
この記事を熟読してください。
ずっとquery();でやっていたので
これまで、危険なアプリケーションを作り続けてきたということなので、すぐに改修すべきですね。
投稿2018/07/01 06:54
退会済みユーザー
総合スコア0
かぶったw
いい記事ですよね^^
初心者が読むには胸焼けしそうな分量ですけど。
胸焼けすると分かっているのに薦めるとか、もう、嫌がらせ…。
むしろ一度くらい胸焼けしといた方が身に付きそう
胸焼けするとわかっていても読むべきだと思います。
こんなの1時間で覚えれますは
まあ、頑張れや。SQLインジェクションは最優先でな。
なんだったら、一時間後にテストしてあげるよ。
私は仕事でもPHPやってますけど1時間じゃ無理ですね。
むしろ今でもこの手の記事には時折お世話になってるくらいですし。
プログラムは「覚えるもの」ではないですし…。英語の英単語覚えるのとはわけが違いますよ。
ちゃんと「状況にあわせた会話」ができるようになる必要があります。
ところで、PDO::query() の記述だけがあって、PDO::prepare()の記述がない参考書なんて存在するんですかね?あるとしたら相当なクソ書籍だと思うんだが…
アマゾンで買いました
そうだったんですね
くそ書籍を買ってしまったのか
全部query()ですね
あ、あと1時間で無理でしたw
MySQLの書籍ね。PHPにフォーカスあてているものでないならまあ、仕方ないか。
1時間で理解できる分量でないことは誰でもわかってる。それより、じっくり理解することが重要です。
0
PHP
1$e->query("INSERT INTO TB1(name.pass) value('$a',"$q")"); 2// ↑ユーザが送信したID, パスワードを`$a`, `$q`という変数に代入してSQL文を実行 3// 変数にシングルクォーテーションが入ったら危険
PHP
1$sql='INSERT INTO mst_staff (name,password) VALUES (?,?)'; // id, passwordは未設定の状態でSQL文を準備 2$stmt=$dbh->prepare($sql); 3// ↑$sqlで書いたSQLにid, passwordの値を割り当てられるオブジェクトをつくり、それを$stmtに代入 4// この「SQLで、値が未設定の所に何らかの変数を割り当てられる」仕組みをプリペアドステートメントという 5// プリペアドステートメントを使うと、1つ目のコードと違って、変数の値にシングルクォーテーションが入っても危険じゃない 6$data[]=$staff_name; // idをdata配列に代入 7$data[]=$staff_pass; // passwordをdata配列に代入 8$stmt->execute($data); 9// ↑executeメソッドにdata配列を渡している 10// これにより、$stmtの値が未設定の箇所に$staff_name, $staff_passが割り当てられる
投稿2018/07/01 06:53
退会済みユーザー
総合スコア0
0
外部からアクセスのあるサイトにて、DB 接続で最低限必要な知識は以下です。
PHPでデータベースに接続するときのまとめ
投稿2018/07/01 07:01
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
