Q&A
同意です。
コピペで動いたが、書く事が出来ないと言われているという事は、書いているコードを理解していないので間違いの箇所を説明しても理解出来ず、セキュリティ等考慮出来ないと思いますので、悪質な人の踏み台などになる可能性が怖いです。
まずは基礎から勉強する事を私もお勧めします。
前提・実現したいこと
PHP MySQL HTML を使ってブログ風のものを作っています。
ほぼわからず、とりあえず多くの人の参考に、コピペで記事投稿(タイトル、本文)、その記事に対するコメント
MySQLとの紐付で動き、MySQL内にもデータが入っています。
画像のアップロード→MySQLに保存→表示のものは、コピペでいけました。
今躓いているのが、
・記事の「投稿」submitを押したときに記事と同時に、画像のファイルもMySQLに保存し、記事に紐付、記事と画像が表示される。ができません。
<考えていること。実践していること>
・記事のテーブルと画像のテーブルは分ける。
・一度ファイルをアップロードしてMySQLに画像データを保存し、投稿submitで画面に表示する設計。
基本的にどんな文を書けば良いのかは雰囲気で掴んでいるだけで、実際には書くことができません。
###該当のソースコード
php
1Ueser_TopPage.php 2 3<!DOCTYPE html> 4<html lang="ja"> 5<head> 6<meta charset="UTF-8"> 7<title>TEST Blog</title> 8<link rel="stylesheet" type="text/css" href="blog.css> 9</head> 10<body> 11 <a href="User_TopPage.php"><label class="toptest"><h1>TEST Blog</h1></label></a> 12<a href="t_post.php"><label class="contentTop"><h4>記事作成</h4></label></a> 13<a href="Logout.php"><label class="Logout"><h5>ログアウト</h5></label></a> 14 15</body> 16</html> 17 18<?php 19 $pdo = new PDO("mysql:dbname=", "root","パス"); 20 21 $st = $pdo->query("SELECT * FROM post ORDER BY no DESC"); //tableの全部(*)を記事番号の大きい順、すなわち新しい記事から順番に並び替えられる 22 23 $posts = $st->fetchAll(); 24// fetchAllメソッドは、全てのレコードを配列として返します。$posts[0]に最も新しい記事、$posts[1]に次の記事…と順番に入ります 25 26 for ($i = 0; $i < count($posts); $i++) { 27 $st = $pdo->query("SELECT * FROM comment WHERE post_no={$posts[$i]['no']} ORDER BY no DESC"); 28 $posts[$i]['comments'] = $st->fetchAll(); 29 } 30 require 't_index.php'; 31 32?> 33 34 35<!-- 36 for ($i = 0; $i < count($posts); $i++){} 37 $st = $pdo->query("SELECT * FROM image WHERE post_no={$posts[$i]['id']} ORDER BY no DESC"); 38 $posts[$i]['media'] = $st->fetchAll(); 39 } 40で画像もコメントと同じように表示することができたりする? 41そのかわりにテーブルのmediaにもpost_noがないと成立しない。--> 42
php
1t_index.php 2 3<!DOCTYPE html> 4<html> 5<head> 6<meta charset="UTF-8"> 7<title>TEST Blog</title> 8<link rel="stylesheet" href="blog.css"> 9</head> 10<body> 11<?php foreach ($posts as $post) { ?> 12 <div class="post"> 13 <h2><?php echo $post['title'] ?></h2> 14 <p><?php echo nl2br($post['content']) ?></p> 15 16 <!-- <p class=""> 17 <a href=""></a> 画像挿入場所--> 18 19 <!-- コメント部分 --> 20 <?php foreach ($post['comments'] as $comment) { ?> 21 <div class="comment"> 22 <h3><?php echo $comment['name'] ?></h3> 23 <p><?php echo nl2br($comment['content']) ?></p> 24 <!-- <p>>?php echo ($) --> 25 </div> 26 <?php } ?> 27 28 <p class="commment_link"> 29 投稿日:<?php echo $post['time'] ?> 30 <a href="comment.php?no=<?php echo $post['no'] ?>">コメント</a> 31 </p> 32 </div> 33<?php } ?> 34</body> 35 36</html>
php
1<?php 2 $error = ''; 3 ?> 4 5 6<!DOCTYPE html> 7<html> 8<head> 9<meta charset="utf-8"> 10<title>記事投稿</title> 11<link rel="stylesheet" href="blog.css"> 12</head> 13<body> 14<form method="post" action="post.php"> 15 <div class="posting"> 16 <h2>記事投稿</h2> 17 <p>題名</p> 18 <p><input name="title" type="text" size="40"></p> 19 <p>本文</p> 20 <p><textarea name="content" rows="8" cols="40"></textarea></p> 21 <input name="submit" type="submit" value="投稿"> 22</form> 23 24 <form method="post" action="" enctype="multipart/form-data"> 25 <input type="file" name="upfile"> 26 <input type="submit" name="upload" value="アップロード"> 27 </form> 28 <p><input type="button" onclick="window.history.back();" value="戻る"></p> 29 <p><?php echo $error ?></p> 30 </div> 31</body> 32</html> 33 34 35<?php 36 ?> 37
php
1 2<?php 3 4 5 $error = $title = $content = ''; 6 if (@$_POST['submit']) { 7 if (isset($_POST['submit']) == 'blank'); { 8 $title = $_POST['title']; 9 $content = $_POST['content']; 10 11 12 if (!$title) $error .= 'タイトルがありません。<br>'; 13 if (mb_strlen($title) > 80) $error .= 'タイトルが長すぎます。<br>'; 14 if (!$content) $error .= '本文がありません。<br>'; 15 if (!$error) { 16 $pdo = new PDO("mysql:dbname=blog", "root","WDp8aa9n@"); 17 $st = $pdo->query("INSERT INTO post(title,content) VALUES('$title','$content')"); 18 19 20 header('Location: User_TopPage.php'); 21 exit(); 22 } 23 } 24} 25 26try{ 27 $user = "root"; 28 $pass = "パス"; 29 $pdo = new PDO("mysql:host=localhost;dbname=blog;charset=utf8", $user, $pass); 30 31 32 //ファイルアップロードがあったとき 33 if (isset($_FILES['upfile']['error']) && is_int($_FILES['upfile']['error']) && $_FILES["upfile"]["name"] !== ""){ 34 //エラーチェック 35 switch ($_FILES['upfile']['error']) { 36 case UPLOAD_ERR_OK: // OK 37 break; 38 case UPLOAD_ERR_NO_FILE: // 未選択 39 throw new RuntimeException('ファイルが選択されていません', 400); 40 case UPLOAD_ERR_INI_SIZE: // php.ini定義の最大サイズ超過 41 throw new RuntimeException('ファイルサイズが大きすぎます', 400); 42 default: 43 throw new RuntimeException('その他のエラーが発生しました', 500); 44 } 45 46 //画像・動画をバイナリデータにする. 47 $raw_data = file_get_contents($_FILES['upfile']['tmp_name']); 48 49 //拡張子を見る 50 $tmp = pathinfo($_FILES["upfile"]["name"]); 51 $extension = $tmp["extension"]; 52 if($extension === "jpg" || $extension === "jpeg" || $extension === "JPG" || $extension === "JPEG"){ 53 $extension = "jpeg"; 54 } 55 elseif($extension === "png" || $extension === "PNG"){ 56 $extension = "png"; 57 } 58 elseif($extension === "gif" || $extension === "GIF"){ 59 $extension = "gif"; 60 } 61 elseif($extension === "mp4" || $extension === "MP4"){ 62 $extension = "mp4"; 63 } 64 else{ 65 echo "非対応ファイルです.<br/>"; 66 echo ("<a href=\"image.php\">戻る</a><br/>"); 67 exit(1); 68 } 69 70 //DBに格納するファイルネーム設定 71 //サーバー側の一時的なファイルネームと取得時刻を結合した文字列にsha256をかける. 72 $date = getdate(); 73 $fname = $_FILES["upfile"]["tmp_name"].$date["year"].$date["mon"].$date["mday"].$date["hours"].$date["minutes"].$date["seconds"]; 74 $fname = hash("sha256", $fname); 75 76 //画像・動画をDBに格納. 77 $sql = "INSERT INTO media(fname, extension, raw_data) VALUES ( :fname, :extension, :raw_data);"; 78 $stmt = $pdo->prepare($sql); 79 $stmt -> bindValue(":fname",$fname, PDO::PARAM_STR); 80 $stmt -> bindValue(":extension",$extension, PDO::PARAM_STR); 81 $stmt -> bindValue(":raw_data",$raw_data, PDO::PARAM_STR); 82 $stmt -> execute(); 83 84 } 85 86 } 87 catch(PDOException $e){ 88 echo("<p>500 Inertnal Server Error</p>"); 89 exit($e->getMessage()); 90 } 91 92 93 94 require 't_post.php'; 95 96?>
###現状
これが現状です。
とりあえずできている機能は
・記事投稿とそれをデータベースに保存、並べて表示。 画像の青枠がタイトル、その下のsが本文。
・コメントはその記事に紐付けられてコメントできるようなところです。 赤いところが名前、その下がコメントです。
初めて質問するのでこのような形で合っているのかわかりませんが、なんとか完成させたい部分なので
ご回答できる方いらっしゃましたら、コードも含め教えていただけると幸いです。
続きの質問もあるのでもしわかる方がいましたらご回答よろしくお願い致します。
続き。PHP、MySQL、HTMLの画像とテキストを同時にDB保存とトップページで表示するブログのようなものを作りたい。
回答2件
0
ベストアンサー
気になるところあげます。
php
1// Ueser_TopPage.php 2<link rel="stylesheet" type="text/css" href="blog.css> // <- blob.css のクォーテーション閉じ忘れ
php
1 for ($i = 0; $i < count($posts); $i++) { 2 $st = $pdo->query("SELECT * FROM comment WHERE post_no={$posts[$i]['no']} ORDER BY no DESC"); 3 $posts[$i]['comments'] = $st->fetchAll(); 4 }
for ループの中でSQLを実行するのはNGです。JOINを使ってテーブルを連結し、SQLの発行回数を一回で住むようにしよう。
また
php
1$pdo->query("SELECT * FROM comment WHERE post_no={$posts[$i]['no']} ORDER BY no DESC");
変数を直接連結するSQLの発行はSQLインジェクションという脆弱性を埋め込むバッドノウハウです。セキュリティの問題なので、他の部分でやっているようにプリペアドステートメントを使って発行してください。
php
1// $pdo = new PDO("mysql:dbname=", "root","パス"); 2$pdo = new PDO("mysql:dbname=", "root","パス", [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);
PDOをインスタンス化する時、第4引数に、OPTIONを設定し、PDOエラーを例外で通知するようにしましょう。
php
1$extension = $tmp["extension"];
$tmp["extension"]; によるファイル形式チェックは「ザル」です。偽装されたら不正なファイルをアップロードできてしまいます。fileinfo関数 を使った厳密なチェックを行いましょう。
あと、全体通して、XSS脆弱性があるので、htmlspecialchars関数を調べることをお勧めします。
ネットで検索して調べるのは間違った方法とは言えませんが、良記事、悪記事あります。必ず PHP本家のリファレンスを参照しましょう。
投稿2018/07/22 08:38
編集2018/07/22 09:23退会済みユーザー
総合スコア0
0
初めて質問するのでこのような形で合っているのかわかりませんが、なんとか完成させたい部分なので
ご回答できる方いらっしゃましたら、コードも含め教えていただけると幸いです。
何を完成させたいのか不明ですが、貼ってあるコードはインターネット上に公開してはダメなレベルのセキュリティです。
まずは基礎から学習してみては?
php で最初に覚えるべきは、post の受け取りと、DB 接続です。
以下が詳しいです。
投稿2018/07/22 08:34
退会済みユーザー
総合スコア0
これを世の中に出すつもりはありませんが、そうですよね。
どんなことから始めるべきか教えていただきありがとうございます。
まだなんとなくでしかコードを読んでも理解ができていないので、ちゃんとマニュアルを読み、勉強させていただきます。
PHPに限らず最初はデバッグとマニュアル参照の仕方を・・・。
コピペコードほどデバッグが活きます。
私の周りの方々からも必ずデバッグについてはお話頂いていたので忘れず、行っていこうと思います。ありがとうございます。
php のマニュアルは、かなりいいものだと思いますが、初心者向けの環境構築や基礎学習にはちょっと向いていないとも思います。
初学者の多くは、デバッグ環境込みの開発環境構築で躓くので、自身のPC環境に合致した初心者本を買い、開発環境を手早く整えるので良いです。
で、後は最小要素に絞ったテストスクリプトを、ローカルで試していれば、基礎力は上がっていきます。
回答に記述したように、POST の扱いと DB の取扱が php 初学者の最初のハードルなので、そのあたりを中心にテストスクリプトを量産すればよいかと。
掲示板機能は色んな要素が入っているので、多少基礎ができてからのほうが良いです。
あと、ファイルアップロードは中級者向けです。
要件によって、かなり難易度が変わるので、それが理解できるようになるまで手を出さないほうが良いです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/07/22 08:45
退会済みユーザー
2018/07/22 08:49 編集
2018/07/22 09:20
退会済みユーザー
2018/07/22 09:24
2018/07/22 09:29