質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

1回答

2138閲覧

URLパラメータにてMySQLを操作したい。

rayleonard

総合スコア9

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

2クリップ

投稿2020/05/24 09:15

編集2020/05/24 10:54

#環境

  • apache2.4
  • PHP7.3
  • MySQL5.7

(ローカルホストで動作しています)
#問題
curlにてhttp://~~~?(パラメータ)
を投げた際に、MySQL上のテーブルを操作するプログラムを作成したいのですが。
パラメータ要素

  • function
  • name
  • amount

下記コードで一番目のケース(deleteall)を実行する際は上手く動作するのですが、
それ以降のケースが動作しません。
具体例
動作OK:http://~~~?function=deleteall
動作不可:http://~~~?function=addstock&name=test&amount=2332

php

1<?php 2$link = new mysqli("localhost", "root","pass","stocker"); 3$function = $_GET["function"]; 4$name= $_GET["name"]; 5$amountTmp = $_GET["amount"]; 6echo($amountTmp); 7function is_decimal($value) { 8 return filter_var($value, \FILTER_VALIDATE_INT) !== false; 9} 10$flag = is_decimal($amountTmp); 11 12switch($function){ 13 case "deleteall": 14 $sqlQDel= "truncate table stocker"; 15 $result = $link->query($sqlQDel); 16 var_dump($result); 17 $link->close(); 18 case "addstock": 19 if ($flag === true) 20 exit("ERROR"); 21 $sqlQInert = "insert into stocker (name ,amount) values('$name','$amountTmp')"; 22 var_dump($sqlQInert); 23 $result = $link->query($sqlQInert); 24 var_dump($result); 25 $link->close(); 26 case "checkstock": 27 $sqlQCheck = "select select name,amount from stocker WHERE name = '$name'"; 28 $state = $link->query($sqlQ); 29 var_dump($state); 30 $link->close(); 31 // case "sell": 32 33} 34?> 35

#問題詳細追加
クエリ文をvar_dumpで確認したところ、
そもそも変数に値が入って居ない事が確認できました。

php

1 case "addstock": 2 if ($flag === true) 3 exit("ERROR"); 4 $sqlQInert = "insert into stocker (name ,amount) values('$name','$amountTmp')"; 5 var_dump($sqlQInert); 6 $result = $link->query($sqlQInert); 7 var_dump($result); 8 $link->close(); 9

実行Curl
curl http://13.112.97.12/stocker/?function=addstock&name=test&amount=2344
結果
string(48) "insert into stocker (name ,amount) values('','')"
この様にパラメータが複数渡される場合、
$_GET['キー名']では複数の項目の取得はできないのでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

takasima20

2020/05/24 10:50

とりあえず name 入れる変数名が違ってる。
rayleonard

2020/05/24 10:54

ご指摘ありがとうございます。 タイポ修正しました。
rayleonard

2020/05/26 17:10

此方解決いたしました。 curlで送信の場合URLの先頭末尾に"をつけないと上手く値が取れないようです。
guest

回答1

0

ベストアンサー

エラーハンドリングは必ず入れましょう。
mysqli_sql_exception クラス

データベースはPHPからすると外部の仕組みです。エラーが起きても全て拾えるわけではありません。

あと、取得した値をそのままSQLに突っ込んでいるのでSQLインジェクションが可能な状態です。
エスケープをするか、できればプリペアドステートメントでパラメータを渡してください。

直接的な回答としては、SQLで文字列を含ませる場合、クォーテーションで囲う必要があるということです。
実際に実行予定のSQLを直にDBに実行してみると良いです。というか、直にDBに実行して正しく動くのを確認してからPHPから実行すべきです。

投稿2020/05/24 09:21

m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rayleonard

2020/05/24 09:37

ご回答ありがとうございます。 >クォーテーションで囲う必要があるということです。 この場合はクエリに含む変数の前後に"を付与するということでしょうか? 例:$name → ".$name." 一応、下記のクエリをDB上で試して動作する事は確認済です。 insert into stocker (name ,amount) values("aaa","234"); select name,amount from stocker WHERE name = "aaa";
m.ts10806

2020/05/24 10:02

いえ、SQLだけをベースに考え、その確認済みSQLを投入できるような文字列をPHPで組んでください。 今PHPで作られている文字列は下記のようになっているはずです。 insert into stocker (name ,amount) values(aaa,234); というか、プリペアドステートメント使ってください。単にクォーテンション付与するだけではSQLインジェクションの脆弱性が残ったままです。
m.ts10806

2020/05/24 18:32

>エラーハンドリングは必ず入れましょう。 mysqli_sql_exception クラス >プリペアドステートメントでパラメータを渡してください。 「学習します」と後回しにすると結局他人ごとになるので忘れます。 まずは本当にわたっているか$_GET自体をvar_dump()するところからでしょうね。 ただ、IPそのまま出すのはまずいと思います。逆引きできます。 質問本文に記載してしまっては質問履歴から確認できますし。
rayleonard

2020/05/25 01:40

うっかりしていました.... ご指摘ありがとうございます。 $_GET自体をvar_dumpしてみましたが、先頭のfunction移行はすべてNULLになっております。
m.ts10806

2020/05/25 02:04

まだIPの件、まだ残ってるのと質問履歴から確認するので編集だけでは抹消できません。本当にマズイものであるのなら運営に直接問い合わせて削除依頼だしてください。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問