Q&A
解決されたようですが、失礼ながらさすがにこの回答であのようなコメントになる方が本件を何もなしに解決できるとは思えないです。
解決されたのでしたらどのように解決されたか具体的に記載願います。
https://teratail.com/help/question-tips#questionTips4-2
前提・実現したいこと
飲食店がお店の入店可否に対してサイト内で〇✖の表示とそれに対するコメントを切り替えられる機能を作っています。
店側がログイン後、店側の入店可否切り替えフォームからログインされた店の〇✖を切り替える下記コードでつまずいています。
現状データベースの更新は出来ておらず、エラーも出ていません。
DBの接続確認、ログイン機能の確認は出来ています。
該当のソースコード
<?php session_start(); try { $pdo = new PDO('mysql:host=localhost;dbname=reserve;charset=utf8','root','', array(PDO::ATTR_EMULATE_PREPARES => false)); } catch (PDOException $e) { exit('データベース接続失敗。'.$e->getMessage()); } if(!isset($_SESSION['user'])) { header("Location: shop_submit.php"); } // ユーザーIDからユーザー名を取り出す $query = "SELECT * FROM shop WHERE id=".$_SESSION['user'].""; $result = $pdo->query($query); if (!$result) { print('クエリーが失敗しました。' . $pdo->error); $pdo->close(); exit(); } // ユーザー情報の取り出し while ($row = $result->fetch(PDO::FETCH_ASSOC)) { $name = $row['name']; //$yesno = $row['yesno']; } // セッションの開始 $yesno = htmlspecialchars($_SESSION['yesno'], ENT_QUOTES, 'UTF-8'); $comment = htmlspecialchars($_SESSION['comment'], ENT_QUOTES, 'UTF-8'); // 接続設定 $conn = new PDO('mysql:host=localhost;dbname=reserve;charset=utf8','root',''); $conn->setAttribute(PDO::ATTR_CASE, PDO::CASE_LOWER); $conn->setAttribute ( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION ); $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); // データの変更 $sql = "update shop set yesno = ':yesno', comment = ':comment' where id=".$_SESSION['user'].""; $stmt = $conn -> prepare($sql); $params = array(':yesno' => ".$yesno.", ':comment' => ".$comment."); $stmt -> execute($params); ?> <!DOCTYPE HTML> <html lang="ja"> <head> <meta charset="utf-8" > <meta name="viewport" content="width=device-width, initial-scale=1"> <title>入店可否登録</title> <link rel="stylesheet" href="style.css"> <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.0/css/bootstrap.min.css"> </head> <body> <div class="header-right"> <p style="text-align:center;"><?php echo $name; ?>専用ページ</p> </div> <div style="text-align:center;margin:50px 0;"> <h3>登録が完了しました</h3> <input style="margin-top:20px;" type="button" onclick="location.href='shop_home.php'"value="トップページへ戻る"> <input type="button" onclick="location.href='shop_form.php'"value="さらに登録する"> </div> </body> </html>
試したこと
ここに問題に対して試したことを記載してください。
補足情報(FW/ツールのバージョンなど)
ここにより詳細な情報を記載してください。
回答1件
0
ベストアンサー
$sql = "update shop set yesno = ':yesno', comment = ':comment' where id=".$_SESSION['user']."";
プリペアドステートメントをキーで設置する場合にクォーテーションは不要
idが直に入れられているのでこれも本来はプリペアドステートメントで値を設置すべき。
$params = array(':yesno' => ".$yesno.", ':comment' => ".$comment.");
その.があることでaと入力して送ったら.a.という値になるけどそれでもいいの?
$yesno = htmlspecialchars($_SESSION['yesno'], ENT_QUOTES, 'UTF-8'); $comment = htmlspecialchars($_SESSION['comment'], ENT_QUOTES, 'UTF-8');
htmlspecialchars() したものをDB登録に使ったらダメ、絶対。
実際に出力の時にも使ってたらhtmlspecialchars(htmlspecialchars())と二重にすることになる。
入力情報は原則全てそのまま受け入れること。(入力チェックで弾くのは当然のこと入力チェックOKの値を加工することになるので)
SQL文にユーザ入力を埋め込む際にhtmlspecialcharsを用いるのは不適切である。求められる変換は text/plain から text/html ではなく、text/plain から application/sql(における文字列リテラル) だ。この処理はプリペアドステートメントとそれに付随するプレースホルダが役割として担うものである。
と、いうことで、
そもそもこんなSQLになってupdate shop set yesno = ''aa'', comment = ''aaa'' where id='1'
SQLのエラーでるはずだが拾う仕組みになっていない。
**「エラーがでない」じゃなくて「エラーを拾う」**作りにすること
SQLはPHPからすると外部の仕組み。勝手にエラーは出してくれない。
接続のためだけに書いてる下記を
php
1} catch (PDOException $e) { 2 exit('データベース接続失敗。'.$e->getMessage()); 3} 4
updateのexecute()のところまで引っ張って$e全部出力する。
php
1 2 $stmt -> execute($params); 3} catch (PDOException $e) { 4 var_dump($e); 5 die(); 6}
投稿2019/04/12 07:38
編集2019/06/04 07:19総合スコア80850
htmlspecialchars()で加工した値をDB保存用に使っているのもよくないですね。
補足ありがとうございます。追記しました。
$name = $_POST['name'], ENT_QUOTES, 'UTF-8';
こうですか?
私の回答丸無視でm6uさんのコメントにだけ答えてるようですが、それ何がしたいんですか?
「更新できない」にhtmlエスケープ自体は関係ありません。ちゃんと回答読んで理解しましょう。
回答を参考に試してできなかった場合は、どういうコードを試して何が起きたのかきちんと書いてください。
お二人に聞いています。
ちゃんと回答読んで理解しましょう。
解決されたようですが、失礼ながらさすがにこの回答でこのようなコメントになる方が本件を何もなしに解決できるとは思えないです。
解決されたのでしたらどのように解決されたか具体的に記載願います。
https://teratail.com/help/question-tips#questionTips4-2
あなたの回答
tips
プレビュー
