Q&A
DB接続時点でtry-catchしてるんだけど、これを正常動作して過ぎたあとの一連のDB動作リクエストをかけたときに例外が発生したときにどこで捕まえるんだろうか、というささやかな疑問。
質問失礼します。
現在PHPを勉強しておりPDOというものを知りました。
いろいろと調べましたが内容が難しく私の解釈があっているのか、
コードの書き方はあっているのか教えていただきたく質問させていただきました。
下記はデータベースに商品を登録するシンプルなものです。
インジェクション対策を行ったほうが良い、PDOがあるとお聞きしてPDOを使用してコードを書いてみました。
動作としては意図する動きをするのですがこれではインジェクション対策になっていないでしょうか?
PDO::PARAM_STRを使用していれば
htmlspecialchars~ENT_QUOTES UTF-8は必要ないのでしょうか?
htmlspecialchars~ENT_QUOTES UTF-8はユーザーの入力した値を画面に表示する際にだけ使用しておけばよかったかな?
いろいろと突っ込みどころが多いと思いますがよろしくお願いします。
下記がコードになります。
dbconnect.php
<?php try { $pdo = new PDO("mysql:host=localhost;dbname=menu_list;charset=utf8", "root", "", array(PDO::ATTR_EMULATE_PREPARES => false)); } catch (PDOException $e) { exit('データベース接続失敗。'.$e->getMessage()); } ?>
<?php require('dbconnect.php'); $id= htmlspecialchars($_POST['id'], ENT_QUOTES, "UTF-8"); $kind= htmlspecialchars($_POST['kind'], ENT_QUOTES, "UTF-8"); $name= htmlspecialchars($_POST['name'], ENT_QUOTES, "UTF-8"); $price= htmlspecialchars($_POST['price'], ENT_QUOTES, "UTF-8"); $remarks= htmlspecialchars($_POST['remarks'], ENT_QUOTES, "UTF-8"); $stmt = $pdo -> prepare("INSERT INTO menu (id,kind,name,price,remarks) VALUES (:id, :kind, :name, :price, :remarks)"); $stmt -> bindValue(':id', $id, PDO::PARAM_STR); $stmt -> bindValue(':kind', $kind, PDO::PARAM_STR); $stmt -> bindValue(':name', $name, PDO::PARAM_STR); $stmt -> bindValue(':price', $price, PDO::PARAM_STR); $stmt -> bindValue(':remarks', $remarks, PDO::PARAM_STR); $stmt -> execute(); ?>
yambejp様に回答いただいているコードにすればm6u様の疑問は解消されるのでしょうか?
DB接続だけ関数化すると、おそらくtry-catch範囲がよろしくないので、DB接続情報をdefineのみしておいて、本編内のDB接続からcommitまでの一連の流れをtry-catchで括ると、しっくりくる。prepare()やbindValue()やexecute()のどこで例外が発生するかわからないし。
回答4件
0
htmlspecialchars()は画面に出力するための対策(XSS)に利用するものなので、
DBに登録する際はむしろ入れてはいけません。
SQLのエスケープについてはPDOでbindをした際にPDO側がやってくれます。
つまり
htmlspecialchars~ENT_QUOTES UTF-8はユーザーの入力した値を画面に表示する際にだけ使用しておけばよかったかな?
そうです。
投稿2018/08/29 06:10
総合スコア80850
この度もありがとうございます(;∀;)
XSS!?また知らないことが。。。
こちらの記事も早速読んで見ます!
>SQLのエスケープについてはPDOでbindをした際にPDO側がやってくれます。
ありがとうございます。
やはりそこでやってくれているんですね!
htmlspecialchars~ENT_QUOTES UTF-8についてもありがとうございます!
WebであればXSSや他にもCSRFなど様々なインジェクションがあります。
「安全なWebアプリケーションの作り方」といった書籍やIPAのサイトに出ているガイドラインも参考にしてください。
もちろん全て対応するかは要件次第なので、できるところから始めていけばいいと思います。
プログラムを作る上で安全面は1番と言っていいほど大切だと思うのでしっかりと勉強します!
この度もご丁寧にありがとうございました!!
0
厳密にはtry-catch構文は直接的なインジェクション対策ではありませんが
例外処理を発生させるためにはエラーモードのしていは必須です
PHP
1try { 2 $pdo = new PDO("mysql:host=localhost;dbname=menu_list;charset=utf8", "root", ""); 3 $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false); 4 $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 5} catch (PDOException $e) { 6 die('データベース接続失敗。'.$e->getMessage()); 7}
エミュレート機能のoffについては徳丸先生が「やらなくてもいいんじゃない?」
と公演で言っていたのできょうび不要かもしれませんね
投稿2018/08/29 07:44
総合スコア114769
ご回答ありがとうございます。
正直よく分からず使っていたところが多いのでお教えいただいたコードの方がより良いコードだと思いますので意味を調べながらありがたくしようさせたいただきます。
ありがとうございます!!
0
ベストアンサー
htmlspecialchars~ENT_QUOTES UTF-8はユーザーの入力した値を画面に表示する際にだけ使用しておけばよかったかな?
はい、そのとおりです。htmlspecialcharsは、HTMLとして特殊な意味を持つ文字をエスケープする関数ですので、HTML出力以外のところで使うと余計なエスケープになるだけです。エスケープ前のデータとエスケープ後のデータが混在すると混乱しか産まないので、エスケープは出力の直前に行いましょう。
そして、MySQLには名前付きのプレースホルダ機能がありませんので、(PDO::ATTR_EMULATE_PREPARES => falseとしても、実はPDOレベルで変換が入っています。
あと、$_POSTを直接使うと、値が来ていない時にE_NOTICEとなります。filter_inputなどを活用しましょう。
投稿2018/08/29 06:18
総合スコア145183
ご回答ありがとうございます。
$_POSTを直接使うと値が来ていない時にNULLとはならずE_NOTICEとなり、
filter_inputを使用すれば値が来ていない時NULLとなる。
よってNULLで登録を許可している列にLUNNを正確に入れるにはfilter_inputを使用した方が良いという解釈でよろしいでしょうか?
E_NOTICEといえども無視すべきでないのは間違いないので、filter_inputなど、E_NOTICEの出ない方法で処理が可能なのならそういうのを使ったほうがいい、という意味です。
なるほど!
わかりました!
知らないことを知れたので勉強になりました!
ありがとうございます!!
あなたの回答
tips
プレビュー
