質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

2回答

1247閲覧

MySQL取得の際のprepareで、勝手につくシングルクオートに困っています

kojimatakashi

総合スコア0

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2020/07/23 22:13

前提・実現したいこと

WordPressにて独自テーブルを実装しました。

PHPの関数で
・指定のテーブルの
・指定のカラムから
・指定の値を探す
という流れでレコードの存在を確認したいです。

発生している問題・エラーメッセージ

PHPの関数を作りましたが下記のエラーとなり、実行されたSQL文がおかしいことがわかります。

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''salads' WHERE 'ID'=3' at line 2

該当のソースコード

こちらがPHPの関数になります。

php

1// 実行 2$table = my_get_table($kind ); 3$result = my_exist_post( $table, 'ID', 3 ); 4var_dump( $result ); 5 6// テーブルを判定 7function my_get_table( $kind ){ 8 if ( is_array( $kind, ['cabbage','carrot'] ) ){ 9 $table = 'salad'; 10 } 11 // 同様に $kind からテーブルを判定するいくかの elseif がある 12 return $table; 13} 14 15// 存在を確認 16function my_exist_post( $table, $col, $val ){ 17 global $wpdb; 18 19 // フォーマットを取得 20 $type = gettype( $val ); 21 if ( $type === 'string' ) { 22 $format = '%s'; 23 } elseif ( $type === 'integer' ) { 24 $format = '%d'; 25 } 26 27 // 実行する SQL文 と、 prepare で置き換える値を取得 28 if ( $val === 'url' ) { 29 $sql = " 30 SELECT ID 31 FROM wp_urls 32 WHERE url=%s"; 33 34 $prepare_arr = [$val]; 35 36 } else { 37 $sql = " 38 SELECT ID 39 FROM wp_%s 40 WHERE %s=$format"; 41 42 $prepare_arr = [$table, $col, $val]; 43 } 44 45 // 実行 46 $rows = $wpdb->get_results( $wpdb->prepare( $sql, ...$prepare_arr ) ); 47 48 // エラー判定して返す 49 if ( $wpdb->last_error ) { 50 $result = ['status'=>'error']; 51 } else { 52 $result = ['status'=>'get']; 53 } 54 return $result; 55}

試したこと

プラグイン「Query Monitor」を導入しました。

それによって実行されたSQL文を確認しましたところ以下のようで、どうやらシングルクオートが余計だとわかりました。

SQL

1SELECT ID 2FROM wp_'salads' 3WHERE 'ID'=3

上の余計なシングルクオートを取り除き、理想としている実行文は以下のパターンです。

SQL

1# ID指定パターン 2SELECT ID 3FROM wp_salads 4WHERE ID=3 5 6# slug指定パターン 7SELECT ID 8FROM wp_salads 9WHERE slug='a' 10 11# URL指定パターン 12SELECT ID 13FROM wp_urls 14WHERE url='http://example.com/post/1'

そのためシングルクオートをreplaceするという方法を考えましたが、それは「シングルクオートを付けてから、さらに外す」という二度手間で、どうも不自然に思います。

そこで、そもそもシングルクオートを付けないような方法などがないのかと思い質問を投稿させて頂きました。

有識者の皆様からのご回答を戴けましたら幸いでございます。
どうぞ宜しくお願い申し上げます。

補足情報(FW/ツールのバージョンなど)

Z.comサーバーにて以下環境です。
MariaDB 10.0
PHP 7.2.0

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

prepareは結局そういう機能ですし(SQLインジェクション対策)、値ではなくカラム名やテーブル名に利用するのは間違いです。

投稿2020/07/23 23:47

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kojimatakashi

2020/07/24 01:06

prepare値にのみ使うものだということですね。するとカラム名やテーブル名へのSQLインジェクション対策としてはどのようなものがあるのでしょうか?
m.ts10806

2020/07/24 01:36

そもそもSQLインジェクションはユーザからの不正な入力によって起きるのですが、「ユーザからの入力により動的にカラム名やテーブル名が決まる」という設計がおかしいです。
guest

0

行おうとしているのは動的SQLですから、インジェクション対策も異なります。

以下ではSQLテンプレートを薦めています。
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方

javaだと「2WaySQL」などで条件分岐も記述できるライブラリがあったりしますが、PHPだとあまり聞かないですね。

投稿2020/07/24 04:01

sazi

総合スコア25138

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問