Q&A
tanatさんの仰るとおりPDO::prepareについて誤解している部分がありました。ご指摘ありがとうございました。しっかりと学習しときたいと思います。
お世話になります。
フォームでポストされたデータをデータベース(MySQL)に保存するプログラムを作成したく
下記のコードではエラーは出ていないが保存ができていないので、どう修正すればよいかご教示お願い致します。
lang
1<?php 2 3// database.php 4 5try { 6$pdo = new PDO('mysql:host=localhost;dbname=form_test;charset=utf8','form_test','abcdefgh'); 7} catch (PDOException $e) { 8 exit('データベース接続失敗。'.$e->getMessage()); 9} 10 11$stmt = $pdo -> prepare("INSERT INTO `form`(`id`, `company_name`, `company_unit`, `name`, `name_furigana`, `mail_address`, `tel1`, `tel2`, `tel3`, `fax1`, `fax2`, `fax3`, `postal_code1`, `postal_code2`, `zip`, `address`, `contact_us`) VALUES ('', '$_SESSION[company]', '$_SESSION[section]', '$_SESSION[name]', '$_SESSION[name2]', '$_SESSION[email]', '$_SESSION[tel1]', '$_SESSION[tel2]', '$_SESSION[tel3]', '$_SESSION[fax1]', '$_SESSION[fax2]', '$_SESSION[fax3]', '$_SESSION[zip1]', '$_SESSION[zip2]', '$_SESSION[prefecture]', '$_SESSION[address]', '$_SESSION[message]')"); 12 13$stmt->execute(); 14 15?>
回答3件
0
ベストアンサー
下記のコードではエラーは出ていない
出てきていないのではなく、出すように設定されていないからです。
php
1<?php 2//開発時は必須です 3ini_set('display_errors', 1); 4error_reporting(E_ALL);
指摘すべき部分が複数あるので、後ほど追記します。
php
1<?php 2 3//開発時エラーメッセージを表示 4ini_set('display_errors', 1); 5error_reporting(E_ALL); 6 7try { 8 $pdo = new PDO('mysql:host=localhost;dbname=form_test;charset=utf8', 'form_test', 'h5nf648x'); 9 10 //プロペアドステートメントを利用してSQLインジェクションの脆弱性を潰す 11 $sql = "INSERT INTO `form`("; 12 $sql .= "`id`"; 13 $sql .= ", `company_name`"; 14 $sql .= ", `company_unit`"; 15 $sql .= ", `name`"; 16 $sql .= ", `name_furigana`"; 17 $sql .= ", `mail_address`"; 18 $sql .= ", `tel1`"; 19 $sql .= ", `tel2`"; 20 $sql .= ", `tel3`"; 21 $sql .= ", `fax1`"; 22 $sql .= ", `fax2`"; 23 $sql .= ", `fax3`"; 24 $sql .= ", `postal_code1`"; 25 $sql .= ", `postal_code2`"; 26 $sql .= ", `zip`"; 27 $sql .= ", `address`"; 28 $sql .= ", `contact_us`"; 29 $sql .= ") VALUES ("; 30 $sql .= "NULL"; 31 $sql .= ", :company_name"; 32 $sql .= ", :company_unit"; 33 $sql .= ", :name"; 34 $sql .= ", :name_furigana"; 35 $sql .= ", :mail_address"; 36 $sql .= ", :tel1"; 37 $sql .= ", :tel2"; 38 $sql .= ", :tel3"; 39 $sql .= ", :fax1"; 40 $sql .= ", :fax2"; 41 $sql .= ", :fax3"; 42 $sql .= ", :postal_code1"; 43 $sql .= ", :postal_code2"; 44 $sql .= ", :zip"; 45 $sql .= ", :address"; 46 $sql .= ", :contact_us"; 47 $sql .= ")"; 48 $stmt = $pdo->prepare($sql); 49 50 // ここから以下は、適切なバリデーション処理が事前にされていることが前提 51 // 52 // 質問にあるような 53 // $_SESSION[company_name] 54 // という書き方はNG 55 // 56 // ※ company_name が定数でない限りにおいて 57 // 58 // $_SESSION['company_name'] 59 // と書く 60 // 61 // $_SESSION 変数から SQL に渡される例は通常ないはずだが、 62 // 一応何か特殊な状況があるのであろうという意味で、こkでは指摘の対象外。 63 // 64 // プロペアドステートメント で ?, ?, ? .... のように使う方法もあるが、 65 // 対応がわかりやすく、無用なミスを事前に防ぐ意味で、 66 // :column_name を使用 67 // 68 // 触れていない情報もあるので、詳細は公式リファレンスを読んでください。 69 // 70 $arr = []; 71 $arr[':company_name'] = $_SESSION['company_name']; 72 $arr[':company_unit'] = $_SESSION['company_unit']; 73 $arr[':name'] = $_SESSION['name']; 74 $arr[':name_furigana'] = $_SESSION['name_furigana']; 75 $arr[':mail_address'] = $_SESSION['mail_address']; 76 $arr[':tel1'] = $_SESSION['tel1']; 77 $arr[':tel2'] = $_SESSION['tel2']; 78 $arr[':tel3'] = $_SESSION['tel3']; 79 $arr[':fax1'] = $_SESSION['fax1']; 80 $arr[':fax2'] = $_SESSION['fax2']; 81 $arr[':fax3'] = $_SESSION['fax3']; 82 $arr[':postal_code1'] = $_SESSION['postal_code1']; 83 $arr[':postal_code2'] = $_SESSION['postal_code2']; 84 $arr[':zip'] = $_SESSION['zip']; 85 $arr[':address'] = $_SESSION['address']; 86 $arr[':contact_us'] = $_SESSION['contact_us']; 87 88 $stmt->execute($arr); 89 //$intLastInsertId = $pdo->lastInsertId(); 90} catch (\PDOException $e) { 91 var_dump($e); 92}
どこで改行するかなども、意図があってやっていることなので、なぜこういう書き方しているのだろうかなど考えて見てはいかがでしょうか?
好みはありますので、この辺は人によって違いは大きい部分でしょうけど…
投稿2015/11/02 09:42
編集2015/11/02 15:07
退会済みユーザー
総合スコア0
0
エラー表示については既に回答があるので、そちらを参照して頂いて、他の部分を。
1.フォームからのPOST値は$_SESSIONでは無く、$_POSTに格納されます。MySQLにデータを投入するスクリプトを作る前に、「フォーム値からPOSTされた値をただ表示するだけ」の様な簡単なスクリプトを作り、フォーム値の取得方法を試してみてください。
2.PDO::prepareの使い方について完全に誤解しています。この状態では($_SESSIONが$_POSTになったとして)SQLインジェクションし放題の危ない実装になります。
http://php.net/manual/ja/pdo.prepared-statements.php
を参考にしてみてください。
投稿2015/11/02 09:58
総合スコア18713
0
こんばんわ。
$stmt->execute();
のあとで PDO::errorInfo を呼び、どのようなエラーが出ているか探ってみてはどうでしょうか?
http://php.net/manual/ja/pdo.errorinfo.php
個人的にはidの値が未設定というのが気になりますね。
投稿2015/11/02 09:37
総合スコア480
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/11/04 01:14