質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.69%

$_POSTで受け取った値をSQL文に挿入して該当するデータを表示させたい。

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 2,066

Mcworter

score 11

 前提・実現したいこと

フォームでIDを入力し、$_POSTで受け取ったIDをSQL文に挿入して該当するユーザーの名前を表示させたいのですが、
現状、実行すると「あなたの名前は1です。」と表示されてしまいます。

bindvalueでプレースホルダに挿入する時に何らかのエラーが起きているのは何となく想像つくのですが、
原因がいまいち特定できません。

ご教示頂けましたら幸いです。

 発生している問題・エラーメッセージ

Notice: Undefined variable: id in C:\xampp\htdocs\test2\sousin.php on line 23

 該当のソースコード

<?php

// Your code here!
try{

  $pdo = new PDO(
    'mysql:host=127.0.0.1;dbname=test;charset=utf8',
    "root",
    "",
      [
      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
      PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
      ]
  );

} catch (PDOException $e){
  header('Content-Type: text/plain; charset=utf8', true, 500);
  exit($e->getMessage());
}

  $username_sql = 'SELECT user_name FROM users WHERE id = ?';
  $stmt = $pdo -> prepare($username_sql);
  $stmt -> bindvalue(1,$id,PDO::PARAM_STR);
  $username = $stmt -> execute();

echo "あなたの名前は".$username."です。"

?>

<!DOCTYPE html>
<html>
<head>
    <title>Page Title</title>
<body>
    <form class="" action="sousin.php" method="post">
        <label for="id">ユーザーID:</label>
        <input type="text" name="id" id="id">
        <input type="submit" value="ログイン">
    </form>
</body>
</html>

 試したこと

XAMPのコンソールで「SELECT user_name FROM users WHERE id ="hoge"」と入力した際には
+-----------+
| user_name |
+-----------+
| huga    |
+-----------+
と正常に表示されています。

 補足情報(FW/ツールのバージョンなど)

XAMPP Version: 7.2.7
PHP Version 7.2.7
10.1.34-MariaDB

追記!!!!

コピーする際に
「$id = htmlspecialchars($_POST["id"]);」
が抜けてしまいました;;

大変申し訳ないです。

 本来のソースコード

<?php

// Your code here!
try{

  $pdo = new PDO(
    'mysql:host=127.0.0.1;dbname=test;charset=utf8',
    "root",
    "",
      [
      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
      PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
      ]
  );

} catch (PDOException $e){
  header('Content-Type: text/plain; charset=utf8', true, 500);
  exit($e->getMessage());
}

  $id = htmlspecialchars($_POST["id"]);

  $username_sql = 'SELECT user_name FROM users WHERE id = ?';
  $stmt = $pdo -> prepare($username_sql);
  $stmt -> bindvalue(1,$id,PDO::PARAM_STR);
  $username = $stmt -> execute();

echo "あなたの名前は".$username."です。"

?>

<!DOCTYPE html>
<html>
<head>
    <title>Page Title</title>
<body>
    <form class="" action="sousin.php" method="post">
        <label for="id">ユーザーID:</label>
        <input type="text" name="id" id="id">
        <input type="submit" value="ログイン">
    </form>
</body>
</html>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+2

<?php
ini_set('display_errors', true);
error_reporting(E_ALL);

function h($string)
{
    return htmlspecialchars($string, ENT_QUOTES, 'utf-8');
}

if (filter_input(INPUT_SERVER, 'REQUEST_METHOD') === 'POST') {
    try {
        $pdo = new PDO(
            'mysql:host=127.0.0.1;dbname=test;charset=utf8', "root", "", [
            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
            PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
            ]
        );
        $id = filter_input(INPUT_POST, 'id');
        $username_sql = 'SELECT user_name FROM users WHERE id = ?';
        $stmt = $pdo->prepare($username_sql);
        $stmt->bindvalue(1, $id, PDO::PARAM_STR);
        $stmt->execute();
        $row = $stmt->fetch();

        $user_name = $row['user_name'];
    } catch (PDOException $e) {
        header('Content-Type: text/plain; charset=utf8', true, 500);
        exit($e->getMessage());
    }
//    echo "あなたの名前は" . $username . "です。";
}
?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title>Page Title</title>
    <body>
        <?php if (isset($user_name)) : ?>
            <p><?php echo h($user_name); ?></p>
        <?php endif; ?>
        <form class="" action="sousin.php" method="post">
            <label for="id">ユーザーID:</label>
            <input type="text" name="id" id="id">
            <input type="submit" value="ログイン">
        </form>
    </body>
</html>

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/08/23 18:53

    ご回答頂きありがとうございます!

    なるほど、私のコードではexecuteから値を取得しようとしていたので上手くいかなかったのですね。
    ご回答頂いたコードを参考に手元の環境で書き直してみたところ無事に値が取得できました!

    修正して頂いたコードも全体的にハイクオリティになっており、
    不明点以外も含め参考にさせて頂きたいと思います!

    今回は非常に勉強になりました。

    キャンセル

  • 2018/08/23 18:56

    「うまくいかない」とき、teratailより、リファレンスを確認しましょう。
    http://php.net/manual/ja/book.pdo.php
    聞かれたことに回答するだけのここより、周辺知識を増やすことができるリファレンスを参考に。

    キャンセル

+2

$id = filter_input( INPUT_POST, 'id' );
とか
$id = $_POST['id'];
などとしないと、フォーム送信データを変数に受信できませんけど。
$_POSTを直接参照するのはよくないので、
filter_input()の使用を推奨です。

$idを宣言せずにコード内で使ってしまうと、
そりゃ 「Notice: Undefined variable」を引き起こしてしまうでしょうね。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/08/23 18:23

    ご回答頂きありがとうございます!

    仰る通りで、
    「$id = htmlspecialchars($_POST["id"]);」
    の部分がコピーする際に飛んでしまいました。

    お手数をお掛けして申し訳ありません。

    キャンセル

+1

PDOのステートメントに対してexecuteした結果の返り値は、成功したか失敗したかのブール値です(PHPマニュアル)。

データ自体は、fetchなどで別途取得する必要があります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/08/23 18:11 編集

    なお、検索結果が0件でも、検索に成功すればTRUEが返ります。

    キャンセル

  • 2018/08/23 18:31

    ご回答頂きありがとうございます!

    なるほど...今回の件はexecuteの戻り値はTRUEなので1が出力されていた訳ですね。
    fetchを使って出力できるか試してみたいと思います。

    非常に勉強になりました。

    キャンセル

+1

$id = htmlspecialchars($_POST["id"]);

これは一番やっちゃいけないやつです
htmlspecialchars()はHTMLに書き出すときに使うもののなので
ユーザーからpostで受け取ったidはそのまま使います
(もちろん置き換えが必要な文字をidに使うとは思えませんが)

SQLでのデータ投入や検索文字は「生データ」をつかってください
そうでない場合はデータの一意性が失われてしまい
想定する正しい検索ができなくなる場合があります。
そもそも変換しないでも支障がないようにするためにわざわざプレースホルダーで
prepare処理をしているのですから

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/08/23 19:15

    ご回答頂きありがとうございます!

    不勉強で申し訳ないです・・・「formから入力されてきた値はとりあえずhtmlspecialchars()を通しておこう」位の認識で使っていました。

    参考書やリファレンスを読み返してそれぞれの関数の使い方をもう一度見直そうと思います。大変勉強になりました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.69%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる