SQL文にPHPの変数をいれる

前提・実現したいこと

XAMPP環境でSNSを作ってみようと思い、PHPでコードを書いてみました。
ログイン機能をつけようと、SQL文にPHPの変数を入れたところ、エラー文が出てしまいました。
自分で調べてみたものの、対処の仕方がよくわかりません。

発生している問題・エラーメッセージ



Fatal error: Uncaught Error: Call to a member function fetch_array() on boolean in C:\xampp\htdocs\session.php:21 Stack trace: #0 {main} thrown in C:\xampp\htdocs\session.php on line 21

該当のソースコード

PHP
1<?php
2session_start();
3?>
4<!DOCTYPE html>
5<html lang="ja">
6    <head>
7        <title></title>
8</head>
9<body>
10    <?php
11    $new_mysqli = new mysqli('localhost', 'root', '', '');
12    $u_id=$_POST["user_id"];
13    $PASS=$_POST["pass"];
14
15    $sql = "select user_id,user_name,address,pass 
16        from user_data
17        WHERE user_id=$u_id
18        GROUP BY pass=$PASS
19    ";
20    $result = $new_mysqli->query($sql);
21    while($val = $result->fetch_array(MYSQLI_ASSOC)){
22        echo $val['user_id']. '<br />';
23        echo $val['user_name']. '<br />';
24        echo $val['address']. '<br />';
25        echo $val['pass']. '<br />';
26    }
27   
28    ?>
29
30</body>
31</html>

試したこと

補足情報（FW/ツールのバージョンなど）

XAMPP v3.2.2
PHP v7.2.0

m.ts10806

2020/01/20 01:51

コードはマークダウンのcode機能を利用してご提示ください

m.ts10806

2020/01/20 04:19 編集

結局どのように解決されたのでしょうか。 https://teratail.com/help/question-tips#questionTips4-2 回答への理解や何もないままだとこのコミュニティ成り立ちませんし、お礼すらもないのでしたら、今後アドバイスを得られにくくなる可能性もあります。

行動規範の内容に同意します

回答4件

php
1$sql = "select user_id,user_name,address,pass 
2from user_data
3WHERE user_id=$u_id
4GROUP BY pass=$PASS
5";

SQL文内に直接変数を展開する、
しかも、その変数は$_POST受信した外部からのデータを検証していないもの、
というのは、SQLインジェクション攻撃の標的にされかねないため、
やってはいけません。

PHP: mysqli_stmt::prepare - Manual
の「例1 オブジェクト指向型」にあるサンプルコードを参考に、
prepare()
bind_param()
execute()
bind_result()
fetch()
の流れを真似して実装を見直してください。

query() を使って fetch_array() する場面でエラーになるのは、
query() に失敗しているためなので、
GROUP BYがおかしいのを直しましょう。

php
1$u_id = $_POST["user_id"];
2$pass = $_POST["pass"]; 
3// このあたりに、$u_id や $pass に不正な文字や不適切な文字が含まれていないかを
4// 検証する処理を置くこと。
5
6$mysqli = new mysqli('localhost', 'root', '', '');
7$sql = <<<EOT
8SELECT `user_id`, `user_name`, `address`, `pass` 
9FROM `user_data`
10WHERE `user_id` = ? AND `pass` = ?
11EOT;
12$stmt = $mysqli->prepare($sql);
13$stmt->bind_param('is', $u_id, $pass);  // $userがintのつもり、stringなら'ss'を指定
14$result = $stmt->execute();
15while ($row = $result->fetch_array(MYSQLI_ASSOC)) {
16  echo $row['user_id']. '<br />';
17  echo $row['user_name']. '<br />';
18  echo $row['address']. '<br />';
19  echo $row['pass']. '<br />';
20}

（あくまで机上、テストしてない。そして変数名とか勝手に直しといた）

あと、DBに格納されている文字列をhtml出力するのに、
htmlspecialchars()を使うことや、
パスワード文字列を生のままデータベース上に保存したり比較したりするのではなく、
例えば password_hash() で加工して保持したものを、
password_verify() を使ってフォーム入力値と比較するということはよく見かけます。

投稿2020/01/20 01:54

編集2020/01/20 02:37

退会済みユーザー

総合スコア0

退会済みユーザー

2020/01/20 02:30 編集

元の質問文がmysqliを使っていたのでそれに準拠したけども、スタンダードはPDOを使うやり方で、これから習得するなら早めにPDOを使うやり方を覚えて損はないです。 mysqli の忘備録 -PDOとmysqliの違い- - Qiita <https://qiita.com/makimoch/items/00dd94278ed1a8f8478a#mysqli%E4%BD%BF%E3%81%A3%E3%81%9F%E6%96%B9%E3%81%8C%E3%81%84%E3%81%84%E4%BA%BA>

行動規範の内容に同意します

ベストアンサー

単にmysqli_queryの結果がfalseだからではと。

返り値 ¶

失敗した場合に FALSE を返します

正しく実行できるSQLなのかを直にDBに対して実行して確認してください。
直に実行して通らないSQLは当然PHPからも動きません。
try-catchでException捕捉するのが良いです。
文法的なものはMySQLのドキュメントを読みましょう。

文字列を送る場合はシングルクォートでくくるのがルールですが、それで通ったとしてもSQLインジェクションの脆弱性は残るので、プリペアドステートメントは導入しましょう。

あと、セキュリティに関することなのでインジェクションついでに指摘すると、
パスワードを平文で保存するのはやめましょう。
(あとできればmysqliよりPDOを採用しましょう)

投稿2020/01/20 01:57

編集2020/01/20 02:40

m.ts10806

総合スコア80850

$sql分の文字列に、そのまま記載してます。
これが全てのヒントとなります。

つまり文字列に$u_idや＄PASSと記載してますが、これじゃ単なる文字列です。
結果は、user_id=$u_idという文字列にしかなりません。

記載するならシングルで囲む事です。

PHP
1$sql = "select user_id,user_name,address,pass 
2from user_data
3WHERE user_id='$u_id'
4GROUP BY pass
5";

質問者さんはGROUP BYに対し、変数を入れようとしてるので
該当passを持つグループだけ抽出とかしたいのかな？
なら、GROUP BYでなく、WHEREに条件追加ですよ。

PHP
1$sql = "select user_id,user_name,address,pass 
2from user_data
3WHERE user_id='$u_id'
4  AND pass='$pass'
5GROUP BY pass
6";

投稿2020/01/20 02:02

編集2020/01/20 03:00

NEO_PLANETT-777

総合スコア333

m.ts10806

2020/01/20 02:17

>若しくは文字列連結それだともとのコードと結果同じですよ。

tanat

2020/01/20 02:19

PHPの場合、ダブルクォート内の変数は展開されるので "select user_id,user_name,address,pass from user_data WHERE user_id=$u_id GROUP BY pass=$PASS" と "select user_id,user_name,address,pass from user_data WHERE user_id=".$u_id." GROUP BY pass=".$PASS は等価になります。

NEO_PLANETT-777

2020/01/20 02:24

ああ、そうですねすみません、いい加減な事言ってしまって（汗

NEO_PLANETT-777

2020/01/20 02:25

不適切箇所を削除しました。

退会済みユーザー

2020/01/20 02:35

GROUP BY句の書き方がおかしいところはスルー？

NEO_PLANETT-777

2020/01/20 02:54

あ、そういやそうだ書き換えときます

m.ts10806

2020/01/20 02:56

そこに関しては「いきなりPHPからじゃなくまず直に実行しようよ」で気づかせるのもありかなと。

行動規範の内容に同意します

$sql = "SELECT user_id,user_name,address,pass FROM user_data WHERE user_id='" . $u_id . "' GROUP BY " . $PASS;

で文字列を連結するといかがでしょうか？
もしくはPDOにしてしまうか、です。

global $pdo;
$stmt = $pdo->prepare("SELECT user_id,user_name,address,pass FROM user_data WHERE user_id= :id GROUP BY pass= :pwd");
$stmt->bindParam(':id', $u_id, PDO::PARAM_STR);
$stmt->bindParam(':pwd', $PASS, PDO::PARAM_STR);
$stmt->execute();

投稿2020/01/20 02:01

編集2020/01/20 06:46