URLパラメータにてMySQLを操作したい。

#環境

apache2.4
PHP7.3
MySQL5.7

(ローカルホストで動作しています）
#問題
curlにてhttp://~~~?(パラメータ）
を投げた際に、MySQL上のテーブルを操作するプログラムを作成したいのですが。
パラメータ要素

function
name
amount

下記コードで一番目のケース(deleteall)を実行する際は上手く動作するのですが、
それ以降のケースが動作しません。
具体例
動作OK：http://~~~?function=deleteall
動作不可：http://~~~?function=addstock&name=test&amount=2332

php
1<?php
2$link = new mysqli("localhost", "root","pass","stocker");
3$function = $_GET["function"];
4$name= $_GET["name"];
5$amountTmp = $_GET["amount"];
6echo($amountTmp);
7function is_decimal($value) {
8    return filter_var($value, \FILTER_VALIDATE_INT) !== false;
9}
10$flag =  is_decimal($amountTmp);
11
12switch($function){
13    case "deleteall":
14        $sqlQDel= "truncate table stocker";
15        $result = $link->query($sqlQDel);
16        var_dump($result);
17        $link->close();
18    case "addstock":
19        if ($flag === true)
20            exit("ERROR");
21        $sqlQInert = "insert into stocker (name ,amount) values('$name','$amountTmp')";
22        var_dump($sqlQInert);
23        $result = $link->query($sqlQInert);
24        var_dump($result);
25        $link->close();
26    case "checkstock":
27        $sqlQCheck = "select select name,amount from stocker WHERE name = '$name'";
28        $state = $link->query($sqlQ);
29        var_dump($state);
30        $link->close();
31    // case "sell":
32    
33}
34?>
35

#問題詳細追加
クエリ文をvar_dumpで確認したところ、
そもそも変数に値が入って居ない事が確認できました。

php
1    case "addstock":
2        if ($flag === true)
3            exit("ERROR");
4        $sqlQInert = "insert into stocker (name ,amount) values('$name','$amountTmp')";
5        var_dump($sqlQInert);
6        $result = $link->query($sqlQInert);
7        var_dump($result);
8        $link->close();
9

実行Curl
curl http://13.112.97.12/stocker/?function=addstock&name=test&amount=2344
結果
string(48) "insert into stocker (name ,amount) values('','')"
この様にパラメータが複数渡される場合、
$_GET['キー名']では複数の項目の取得はできないのでしょうか？

takasima20

2020/05/24 10:50

とりあえず name 入れる変数名が違ってる。

rayleonard

2020/05/24 10:54

ご指摘ありがとうございます。タイポ修正しました。

rayleonard

2020/05/26 17:10

此方解決いたしました。 curlで送信の場合URLの先頭末尾に"をつけないと上手く値が取れないようです。

行動規範の内容に同意します

回答1件

ベストアンサー

エラーハンドリングは必ず入れましょう。
mysqli_sql_exception クラス

データベースはPHPからすると外部の仕組みです。エラーが起きても全て拾えるわけではありません。

あと、取得した値をそのままSQLに突っ込んでいるのでSQLインジェクションが可能な状態です。
エスケープをするか、できればプリペアドステートメントでパラメータを渡してください。

直接的な回答としては、SQLで文字列を含ませる場合、クォーテーションで囲う必要があるということです。
実際に実行予定のSQLを直にDBに実行してみると良いです。というか、直にDBに実行して正しく動くのを確認してからPHPから実行すべきです。

投稿2020/05/24 09:21

m.ts10806

総合スコア80850

rayleonard

2020/05/24 09:37

ご回答ありがとうございます。 >クォーテーションで囲う必要があるということです。この場合はクエリに含む変数の前後に"を付与するということでしょうか？例：$name → ".$name." 一応、下記のクエリをDB上で試して動作する事は確認済です。 insert into stocker (name ,amount) values("aaa","234"); select name,amount from stocker WHERE name = "aaa";

m.ts10806

2020/05/24 10:02

いえ、SQLだけをベースに考え、その確認済みSQLを投入できるような文字列をPHPで組んでください。今PHPで作られている文字列は下記のようになっているはずです。 insert into stocker (name ,amount) values(aaa,234); というか、プリペアドステートメント使ってください。単にクォーテンション付与するだけではSQLインジェクションの脆弱性が残ったままです。

m.ts10806

2020/05/24 18:32

>エラーハンドリングは必ず入れましょう。 mysqli_sql_exception クラス >プリペアドステートメントでパラメータを渡してください。「学習します」と後回しにすると結局他人ごとになるので忘れます。まずは本当にわたっているか$_GET自体をvar_dump()するところからでしょうね。ただ、IPそのまま出すのはまずいと思います。逆引きできます。質問本文に記載してしまっては質問履歴から確認できますし。

rayleonard

2020/05/25 01:40

うっかりしていました.... ご指摘ありがとうございます。 $_GET自体をvar_dumpしてみましたが、先頭のfunction移行はすべてNULLになっております。

m.ts10806

2020/05/25 02:04

まだIPの件、まだ残ってるのと質問履歴から確認するので編集だけでは抹消できません。本当にマズイものであるのなら運営に直接問い合わせて削除依頼だしてください。

行動規範の内容に同意します