Q&A
確認ですが。
①ひとつにまとめてありますが、これ、それぞれ別のソースですよね?
②mysqli のコンストラクタは 伏字にしてあるようですが、接続はできているんですよね?
③SQL は、mysql で実行できることろ確認できているんですよね?
前提・実現したいこと
実行したときにheaderで任意のページにとばしたいのですが、else文の方が処理され「エラーが発生しました。」と出力されてしまいます。
原因を見つけるためコードを変えてみたりしたんですが結局分からなかったので質問させていただきました。
稚拙なコードではありますが皆様のお力添えお願いいたします。
該当のソースコード
php
1<?php 2 3$mysqli = new mysqli("#", "#", "#", "#"); 4 5session_start(); 6 7if(isset($_POST["go"])){ 8 $name = $mysqli->real_escape_string($_POST['name']); 9 $email = $mysqli->real_escape_string($_POST['email']); 10 $password = $mysqli->real_escape_string($_POST['password']); 11 $password = password_hash($password, PASSWORD_DEFAULT); 12 13 $query = "INSERT INTO user(name,email,password) VALUES('$name','$email','$password')"; 14 15 if($mysqli->query($query)){ 16 header("Location: #"); 17 exit; 18 }else{ 19 echo "エラーが発生しました。"; 20 exit; 21 } 22} 23 24?> 25 26 27<!DOCTYPE HTML> 28<html lang="ja"> 29 30<head> 31<meta charset="utf-8"> 32<meta name="viewport" content="width=device-width, initial-scale=1"> 33<title>新規登録</title> 34<link rel="stylesheet" href="register.css"> 35</head> 36 37 38<body> 39 40<form class="register" action="" method="post"> 41 <h3>新規登録</h3> 42 <p>ユーザーネーム</p> 43 <input id="name" type="text" name="name"><br> 44 <p>パスワード</p> 45 <input id="password" type="password" name="password"><br> 46 <p>メールアドレス</p> 47 <input id="email" type="email" name="email"><br> 48 <input type="submit" name="go" value="登録"> 49 <a href="#">ログインはこちら</a> 50</form> 51 52</body> 53</html> 54
補足情報(FW/ツールのバージョンなど)
#の部分はちゃんとあります。
データの値は[password(var)][name(text)][email(text)]です。
①ひとつのソースコードです。
②接続の確認はしました。
③確認済みです。
try-catchで囲ってexceptionを捕捉してgetMessageしてみてください。
たぶんそこで原因となるエラーが見えるはずです
解答見ました、基本は押さえてあるようなので、m.ts10806 さんがおっしゃっているような対策をするか・・・。
ウェブサーバのログを見るなり、ウェブサーバが未公開で、php.ini をいじれるのであれば「display_errors = On」にするなりすれば、何がエラーになっているかがわかるかと思います。
皆様お礼が遅くなってしまい申し訳ございません。
ユーザー入力を使っているためqueryではなくexecuteを使うみたいですね。
自分の知識不足ですみません。ありがとうございました。
>ユーザー入力を使っているためqueryではなくexecuteを使うみたいですね。
ユーザー入力使ってなくてもprepare→bindValue→executeの流れはほぼマストで安全です。
実装が統一されなくなるとそれはそれでメンテナンス性に難がでます。
なるほどです。
ご親切にありがとうございます。
回答1件
0
ベストアンサー
もしかして:
php
1if ( (isset($_POST["go"])) && (isset($_POST['name'])) && (isset($_POST['email'])) && (isset($_POST['password'])) ) { 2 $name = $_POST['name']; 3 $email = $_POST['email']; 4 $password = password_hash($_POST['password'], PASSWORD_DEFAULT); 5 6 // この辺に、$nameや$emailや$passwordに使っちゃいけない文字がないかなど検証する処理を置くこと。 7 8 $stmt = $mysqli->prepare("INSERT INTO user(name,email,password) VALUES(?,?,?)"); 9 $stmt->bind_param("sss", $name, $email, $password); 10 11 if ($stmt->execute()) { 12 header("Location: #"); 13 exit; 14 } else { 15 echo "エラーが発生しました。"; 16 exit; 17 } 18}
SQL文を変数の連結や変数展開でやらず、
mysqliに備わっているバインドパラメータの仕組みを使いましょう。
SQLインジェクション対策になります。
ところで、$_POST['name']や$_POST['email']や$_POST['password']の内容は
検証する処理がないのでこのまま使っちゃダメですからね。
投稿2020/01/15 06:19
編集2020/01/15 06:32
退会済みユーザー
総合スコア0
お礼が遅くなってしまい申し訳ございません。
ユーザー入力を使っているため、queryではなくexecuteを使うみたいですね。
自分の知識不足ですみません。ありがとうございました。
あなたの回答
tips
プレビュー
