Q&A
私自身はDBさわったことないですが、情報不足だと思います。
HTML自身ではDBにアクセスできません。
どのようにしてDBにアクセスしておられるのでしょうか?
JavaならJavaなりの流儀がありますし、
PythonならPythonなりの流儀があります。
タグではPHPとなっていますが、PHPでどのようにやっているのでしょうか?
そこまで細かく書かないことには、デキル人でもお手上げです。
#やりたいこと
フォームのinput要素やTextarea要素で入力した
とおりのひらがな、カタカナ、記号(全角・半角)、英数字(全角・半角)、漢字
を、いったんinsert文でDBに保存。その後何度かUpdateのSQLが実行されDB値は更新される。
画面でDB検索結果を表示させたい場合、insert直後であっても、Updateを何度か行った後でも、
どの段階であっても、かならず入力値どおりに表示させたい。
#経緯
当初、フォームから入力した値はすべてaddslashesを行っていたので、入力値どおりが検索結果に表示されていた。ただし、バックスラッシュを入力しても、検索結果表示時に表示されない。
この問題があったため、入力値をすべてaddslashesすることはやめました。
その結果、DB保存時や保存後の検索結果表示時には
「…」「→」などが混じるようになりました。
#疑問
1)DB保存データをみると、やはり表示時と同じように「…」「→」などが存在する
のはどうしては?
2)保存したデータを画面に呼び出すとやはり「…」「→」などが存在する
#やってみたこと(1)
DB検索し表示する時点でhtmlspecialcharをつけてみる
その結果
「…」を例にとると「amp;hellip;」と化けてしまう
#やってみたこと(2)
入力値
[]!"#$%&'()\クラウド……ABC//……()[]().&'"!*/\→
これを、htmlspecialcharsをしないでDBにinsert
その結果、保存値はphpMyAdminでみたとき
[]!"#$%&'()\クラウド……ABC//……()[]().&'"!*/\→
となっています。
この値をselectして、画面に表示させたとき
[]!"#$%&'()\クラウド……ABC//……()[]().&'"!*/\→
となります。
DB保存値は、入力値と同じ状態になるのがほんとうではないでしょうか?
回答1件
0
ベストアンサー
入力された情報はバリデーションにかからなかったなら全てそのまま(SQLエスケープを施して)登録すべきなので、登録時にhtmlspecialchars()などhtmlエスケープがかかった情報を登録しているのではないでしょうか。
あくまで画面出力時のみ対応するものです。
実際のコードがないので可能性の話でしかないですが。
ちなみに表示時のhtmlソースを見たときに→のようになっているのはhtmlエスケープが正しくかかっているので出方としては正しいです。
「&」は&がhtmlエスケープかかった結果なので化けてるわけではなくそれが正しい結果です。
あくまで保存時にhtmlエスケープをかけてはいけない、だけの話です。
ちなみに既に登録されたデータはphp側でどうにかできるわけではないのでDB側で置換かけるか、捨ててください。
追記:
もう1つお伝えしておくと、addslashes()による対応はSQLインジェクションが可能になるのでやめましょうと結構前から言われているので、あまり正しく理解できていない状態で使うものではなかったりします。
※そのあたり、調べるとすぐ出てきます。
投稿2019/04/20 07:05
編集2019/04/20 09:14
総合スコア80854
あなたの回答
tips
プレビュー
