SQL分　INSERT INTO table_name() VALUE ()のVALUE部分での変数の扱い方について

情報

MariaDB　10.4.11
PHP 7.4.6

該当のソースコード

PHP
1$body = $_GET["body"];
2$id = $_GET["id"];
3INSERT INTO 'test'('id', 'body') VALUES (".$id." , '".$body."')

(".$id." , '".$body."')の部分の「.「」は連結のために使ってあると思うのですが、どこを連結させているのかが分からないので教えていただきたいです。

m.ts10806

2020/06/29 15:55

質問の意味がわかりません。あくまで文字列ですよね？本当にこのコードはそのまま提示されてますか？動きませんよ。これでは。コードは原則コピペしてください

行動規範の内容に同意します

回答2件

3行目全体にダブルクォーテーションで囲まれていませんか？

php
1"INSERT INTO 'test'('id', 'body') VALUES (" . $id . " , '" . $body . "')"

ただセキュリティ等の問題から直接変数値を代入するのは良くないので、pdo等を使用した方がいいと思います。
https://www.php.net/manual/ja/class.pdo.php

投稿2020/06/29 14:58

yuuyu

総合スコア1139

panddd00

2020/06/29 14:59

3行目全体がダブルクォーテーションで囲まれているということは、全体が文章として扱われているということでしょうか？

yuuyu

2020/06/29 15:01

参考元が分からないので推測にはなりますが、ダブルクォーテーションで囲まれている場合は上記の赤文字箇所が文字列として扱われている、という事になります。そして変数$id、$bodyをそれぞれ文字列と結合している感じですかね。

行動規範の内容に同意します

こんな感じの処理です

PHP
1<?PHP
2$body = filter_input(INPUT_GET,"body");
3$id = filter_input(INPUT_GET,"id");
4if(!is_null($body) and !is_null($id)){
5  $sql="INSERT INTO `test`(`id`, `body`) VALUES (".$id." , '".$body."')";
6  print $sql.";";
7}
8?>
9<form>
10<input type="text" name="body" value="abc"><br>
11<input type="text" name="id" value="123"><br>
12<input type="submit" send="send"><br>
13</form>