Q&A
制作しているシステム
PHPで自動販売機のシステムを制作
管理、在庫、購入履歴の3つのデータベースに管理
発生している問題
$query = "UPDATE stock_table SET stock = {$stock},update_date = {'$up_date'} WHERE drink_id = {$drink_id}"; if(mysqli_query($link, $query) !== TRUE) { $error[] = 'エラー3'; } stock_tableの在庫、更新の時刻を同時にUPDATEしたいのですが上のコードが上手く機能せず $error[] の 'エラー3'が表示されます 因みにvar_dumpで$up_dateを確認するとしっかり取得されています
該当のソースコード
<?php $drink_data = array(); $uploaddir = '../upload_img/'; $error = array(); $up_date = date('Y-m-d H:i:s'); $host = 'localhost'; $user = ''; $passwd = ''; $dbname = ''; $link = mysqli_connect($host, $user, $passwd, $dbname); if($link){ mysqli_set_charset($link, 'utf8'); if($_SERVER['REQUEST_METHOD'] === 'POST'){ if(isset($_POST['name']) === TRUE && isset($_POST['price']) === TRUE && isset($_POST['stock']) === TRUE && isset($_POST['status']) === TRUE){ $name = $_POST['name']; $price = $_POST['price']; $stock = $_POST['stock']; $date = date('Y-m-d H:i:s'); $up_date = date('Y-m-d H:i:s'); $status = $_POST['status']; if(isset($_FILES['img_name']) === TRUE){ $uploadfile = basename($_FILES['img_name']['name']); if(is_uploaded_file($_FILES['img_name']['tmp_name'])===TRUE){ $mime = $_FILES['img_name']['type']; if($mime === 'image/png' || $mime === 'image/jpeg'){ if(move_uploaded_file($_FILES['img_name']['tmp_name'], $uploaddir.$uploadfile)===FALSE){ $error[] = "失敗!"; } }else{ $error[] = '形式が違います'; } }else{ $error[] = 'ファイル未選択'; } } if($name === ''){ $error[] = '名前が入力されていません'; } if($price === ''){ $error[] = '値段が入力されていません'; }else if(preg_match('/^[0-9]+$/',$price) === 0){ $error[] = '値段は整数値で入力してください'; } if($stock === ''){ $error[] = '個数が入力されていません'; }else if(preg_match('/^[0-9]+$/',$stock)===0){ $error[] = '個数は整数値で入力してください'; } if(preg_match('/^[01]$/',$status)===0){ $error[] = 'ステータス値が不正です'; } if(count($error)===0){ mysqli_autocommit($link, false); $query = "INSERT INTO drink_table(name,price,created_date,update_date,status,drink_img) VALUES ('$name',$price,'$date','$up_date',$status,'$uploadfile')"; if(mysqli_query($link, $query) === false){ $error[] = 'エラー1'; }else{ $drink_id = mysqli_insert_id($link); $sql = "INSERT INTO stock_table VALUES ($drink_id,$stock,'$date','$up_date')"; if(mysqli_query($link, $sql) === false){ $error[] = 'エラー2'; } } if (count($error) === 0) { mysqli_commit($link); } else { mysqli_rollback($link); } } }else if(isset($_POST['stock_button'])===TRUE){ $drink_id = ''; $stock = ''; //$up_date = date('Y-m-d H:i:s'); if(isset($_POST['drink_id'])===TRUE){ $drink_id = $_POST['drink_id']; } if(isset($_POST['stock'])===TRUE){ $stock = $_POST['stock']; } $query = "UPDATE stock_table SET stock = {$stock},update_date = {'$up_date'} WHERE drink_id = {$drink_id}"; var_dump($up_date); if(mysqli_query($link, $query) !== TRUE) { $error[] = 'エラー3'; } }else if(isset($_POST['status_button'])===TRUE){ $status = ''; if(isset($_POST['drink_id'])===TRUE){ $drink_id = $_POST['drink_id']; } if(isset($_POST['status'])===TRUE){ $status = $_POST['status']; } $query = "UPDATE drink_table SET status = {$status} WHERE drink_id = {$drink_id}"; if(mysqli_query($link, $query) !== TRUE) { $error[] = 'エラー4'; } } } $query = 'SELECT drink_table.drink_id,name,price,stock,status,drink_img FROM drink_table JOIN stock_table ON drink_table.drink_id = stock_table.drink_id '; $result = mysqli_query($link,$query); while($row = mysqli_fetch_array($result)){ $drink_data[] = $row; } mysqli_free_result($result); mysqli_close($link); }else{ print 'DB接続失敗'; } ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>サンプル</title> <style> 省略 </style> </head> <body> <section> <?php foreach($error as $value){?> <p><?php print $value; ?></p> <?php }?> <h1>新規商品追加</h1> <form enctype="multipart/form-data" method = "post"> <div> <label>名前:<input type = "text" name = "name" value = ""></label> </div> <div> <label>値段:<input type = "text" name = "price" value = ""></label> </div> <div> <label>個数:<input type = "text" name = "stock" value = ""></label> </div> <div> <input type="hidden" name="MAX_FILE_SIZE" value="30000" /> <input type = "file" name = "img_name"> </div> <div> <select name = "status"> <option value ="0">非公開</option> <option value ="1">公開</option> </select> </div> <div> <input type ="hidden" name = "sql_kind" value ="insert"> </div> <div> <input type ="submit" value ="商品追加"> </div> </form> </section> <section> <h1>商品情報変更</h1> <table> <caption>商品一覧</caption> <tbody> <tr> <th>商品画像</th> <th>商品名</th> <th>価格</th> <th>在庫数</th> <th>ステータス</th> </tr> <?php foreach ($drink_data as $value){ ?> <tr class = "status_false"> <td><img src = "<?php print htmlspecialchars($uploaddir.$value['drink_img'], ENT_QUOTES, 'UTF-8'); ?>"></td> <td><?php print htmlspecialchars($value['name'], ENT_QUOTES, 'UTF-8'); ?></td> <td><?php print htmlspecialchars($value['price'], ENT_QUOTES, 'UTF-8'); ?></td> <td> <form method = "post"> <input type = "hidden" name = "drink_id" value = "<?php print htmlspecialchars($value['drink_id'], ENT_QUOTES, 'UTF-8'); ?>"> <input type = "text" name = "stock" value = "<?php print htmlspecialchars($value['stock'], ENT_QUOTES, 'UTF-8'); ?>">個 <input type = "submit" name ="stock_button" value = "変更"> </form> </td> <td> <form method = "post"> <input type = "hidden" name = "drink_id" value = "<?php print htmlspecialchars($value['drink_id'], ENT_QUOTES, 'UTF-8'); ?>"> <?php if(htmlspecialchars($value['status'], ENT_QUOTES, 'UTF-8')==='0'){ ?> <input type = "submit" name ="status_button" value = "非公開→公開"> <input type = "hidden" name = "status" value = '1' > <style type="text/css"> .status_false{ background-color:gray; } </style> <?php }else{?> <input type = "submit" name ="status_button" value = "公開→非公開"> <input type = "hidden" name = "status" value = '0' > <?php }?> </form> </td> </tr> <?php }?> </tbody> </table> </section> </body> </html>
試したこと
データベースから直接sql文を取得してみた
シングルコートを外してみた
$stockや$up_dateの{}を[]に変えてみた
else if内の(isset($_POST['stock_button'])===TRUE){
のなかで改めて$up_date = date('Y-m-d H:i:s');
としてみた
UPDATE ~ SET以降、update_dateのカラムは入れずに stock = {$stock} WHERE drink_id = {$drink_id}のみだと正常に機能します
問題の発生した環境
PHP
回答1件
0
ベストアンサー
正しく展開されない変数があります
例
php
1$up_date = "test"; 2echo "{'$up_date'}"; 3//{'test'}
$query = "UPDATE stock_table SET stock = {$stock},update_date = {'$up_date'} WHERE drink_id = {$drink_id}";
↓
$query = "UPDATE stock_table SET stock = {$stock},update_date = {$up_date} WHERE drink_id = {$drink_id}";
ただ、数値でないのでしたらSQLの値をセットする部分はシングルクォートで囲うべきですね。
$query = "UPDATE stock_table SET stock = '{$stock}',update_date = '{$up_date}' WHERE drink_id = {$drink_id}";
直接sql文を取得してみた
今回の場合、PHPで組んだSQLで正しく動いてないのですから、PHPで実行しようとしているSQLを取得して、正しいSQLか、DBに対して直接実行するとどうなるかを確かめましょう。
ただ・・・
現在のコードですとSQLインジェクションの脆弱性がありますし、
諸々含めるとmysqli系よりもPDOで対応されたほうが良いでしょう。
全体的に作り直しとなりますが、後々のメンテナンス性とか可読性とか加味するとメリットのほうが大きいと思います。
投稿2019/07/18 14:11
編集2019/07/18 14:12
総合スコア80850
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/07/18 14:19
2019/07/18 14:24
2019/07/18 14:25
2019/07/18 14:48
2019/07/18 14:50