PHPでSessionの値をMySQLにInsertする方法について

下記のコードを試したのですが、エラーが表示しデータベースにインサートできませんでしたので、

PHP
1$sql = "INSERT INTO `members` (`name`, `email`, `password`, `picture`, `created`)
2    VALUES ('$_SESSION["join"]["name"]', '$_SESSION["join"]["email"]', '$_SESSION["join"]["password"]', '$_SESSION["join"]["image"]', '$memberDate')";
3
4    
5if ($conn->query($sql) === TRUE) {
6        echo "New record created successfully";
7} else {
8        echo "Error: " . $sql . "<br>" . $conn->error;
9}

下記のコードを試したところ、うまくいきました。
ただ、一度sessionの値を定義しないといけないので、ちょっと面倒な気がします。
上記コードのように、直接sessionの値をインサートできないでしょうか？

PHP
1$memberName = $_SESSION["join"]["name"];
2$memberEmail = $_SESSION["join"]["email"];
3$memberPassword = $_SESSION["join"]["password"];
4$memberPicture = $_SESSION["join"]["image"];
5$memberDate = date('Y-m-d H:i:s');
6
7$sql = "INSERT INTO `members` (`name`, `email`, `password`, `picture`, `created`)
8    VALUES ('$memberName', '$memberEmail', '$memberPassword', '$memberPicture', '$memberDate')";
9
10    
11if ($conn->query($sql) === TRUE) {
12        echo "New record created successfully";
13} else {
14        echo "Error: " . $sql . "<br>" . $conn->error;
15}
16    
17$conn->close();

m.ts10806

2019/02/04 04:33

エラーが出ている場合はそのエラーも質問に提示するのが原則です。 https://teratail.com/help/question-tips#questionTips3-4

行動規範の内容に同意します

回答3件

ベストアンサー

直接の原因は単なる構文エラーです。
PHPにおいてクォーテーションは特別な意味を持ちます。「文字列である」という区切りですね。
その中で連想配列をキー指定で使いたい場合、そのキーの指定もダブルクォーテーションで使ってしまうと
プログラムは正しく解釈できなくなるわけですね。
また、単なる文字列を入れただけの変数を使いたいときももしその前後にアルファベットが続いた場合、
どこからどこまでが変数なのか分からなくなります。
ダブルクォーテーション(やヒアドキュメント)の中で変数を使いたい場合は{}で変数を囲うのを強くすすめます。

php
1$sql = "INSERT INTO `members` (`name`, `email`, `password`, `picture`, `created`)
2    VALUES ('{$_SESSION["join"]["name"]}', '{$_SESSION["join"]["email"]}', '{$_SESSION["join"]["password"]}', '{$_SESSION["join"]["image"]}', '{$memberDate}')";

ただ、.で文字列連結するのが最も明示的です。

php
1$sql = "INSERT INTO `members` (`name`, `email`, `password`, `picture`, `created`)
2    VALUES ('".$_SESSION["join"]["name"]."', '".$_SESSION["join"]["email"]."', '".$_SESSION["join"]["password"]."', '".$_SESSION["join"]["image"]."', '".$memberDate."')";

下記のような質問も参考にしてください

teratail:文字列の中で使うべき変数は波括弧？それとも結合演算子？(PHP)

ただ、既に指摘があるようにそのままSQLに突っ込むのはSQLインジェクションの脅威にさらされます。
悪い人が使えばDBの情報を全て引き出したり、DBを削除するようなSQLを埋め込めたりできるものです。

PDOに切り替えるのが安全ですが、mysqliでも同等の機能はあるので、
mysqli::prepare→mysqli::bind_paramでの対応をご検討ください。

投稿2019/02/04 04:43

編集2019/02/04 04:45

m.ts10806

総合スコア80850

環境はPDOでしょうか？
とりあえずエラーが拾えるようにするのと
prepareで処理してみてください

PHP
1try{
2  $pdo = new PDO($dsn, $user,$password);
3  $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
4  $sql = "INSERT INTO `members` (`name`, `email`, `password`, `picture`, `created`) ";
5  $sql.= "VALUES (?,?,?,?,?)";
6  $stmt = $pdo->prepare($sql);
7  $stmt->execute([$memberName, $memberEmail, $memberPassword, $memberPicture, $memberDate]);
8}catch(PDOException $e){
9  die($e->getMessage());
10}