Q&A
英字を全角文字で書くのは止めましょう。
データベースに「名前、意見、メアド」の3要素をINSERTしたいのですがうまくいきません。
試しにデータベースに直でINSERTしてみるとデータは正常登録されました。php上ではエラーが現れず、原因を特定することができません。(メール送信部分のみ全てコメントアウトするとWarning含めすべてエラーは無くなります。)
他になにか見直すべきところがあれば教えていただけませんか。
PHP:7.4.13
PC:Windows 10pro
php
1<!DOCTYPE html> 2<html lang="ja"> 3<head> 4 <meta charset="UTF-8"> 5 <meta name="viewport" content="width=device-width, initial-scale=1.0"> 6 <title>Document</title> 7</head> 8<body> 9 10<?php 11//データベースに接続する。ーーーーーーーーーーー 12$dsn='mysql:dbname=phpkiso;host=localhost;charset=utf8'; 13$user='root'; 14$password=''; 15 16$dbh=new PDO($dsn,$user,$password); 17$dbh->query('SET NAME utf8'); 18 19$nickname=$_POST['nickname']; 20$mailAd=$_POST['mailAd']; 21$comment=$_POST['comment']; 22 23$nickname=htmlspecialchars($nickname); 24$mailAd=htmlspecialchars($mailAd); 25$comment=htmlspecialchars($comment); 26 27print $nickname; 28print '様<br>'; 29print 'ご意見ありがとうございました。<br>'; 30print '頂いたご意見『'; 31print $comment; 32print '』<br>'; 33print $mailAd; 34print 'にメールを送りましたのでご確認ください。<br>'; 35 36//メール送信ーーーーーーーーーーーーーーーーーーーー 37$mail_sub='アンケート受け付けました。'; 38$mail_body=$nickname."様へ\nアンケートご協力ありがとうございました。"; 39$mail_body=html_entity_decode($mail_body,ENT_QUOTES,"UTF-8"); 40$mail_head='From:otayousuke0724@gmail.com'; 41mb_language('Japanese'); 42mb_internal_encoding('UTF-8'); 43mb_send_mail($mailAd,$mail_sub,$mail_body,$mail_head); 44 45//MySQLへSQL文で命令ーーーーーーーーーーーーーーーー 46$sql='INSERT INTO anketo(nickname,email,comment)VALUES("'.$nickname.'","'.$mailAd.'","'.$comment.'")'; 47$stmt=$dbh->prepare('$sql'); 48$stmt->execute(); 49 50//データベースから切断ーーーーーーーーーーーーーーー 51$dbh=null; 52?> 53</body> 54</html>
データベースの変数名
PHPでは正常に変数に格納されました
↓
動作の問題修正
①シングルクォテーション
→ $stmt=$dbh->prepare($sql);
確かに上の通り修正すると変数sqlが展開され、PHPからデータベースにINSERTされる動作が確認できました。おっしゃる通りシングルクォテーションを使っていたため、中身が変数展開されていませんでした。
ーーーーーーーーーーーーーーーーーーーーーーーー
セキュリティの問題修正
②htmlspecialchars()
→HTML表示箇所に適宜適用、データベースには変数のまま手をくわえず代入
③プリペアドステートメント と プレースホルダ ーを使用した構築
データベース接続部はhtmlタグ外へ出して、分別修正しました。
phpとAdminでデータベースとテーブル名を修正。
(→php_basic >> survey)
以上を修正したところ、INSERTができませんでした。
上記エラー画面から変化ありません。
<?php try{ // リクエストからスーパーグローバル変数を取得ーーーーー $nickname=$_POST['nickname']; $mailAd=$_POST['mailAd']; $comment=$_POST['comment']; //ーーーデータベースに接続する。ーーーーー $pdo=new PDO('mysql:dbname=php_basic;host=localhost;charset=utf8','root','', // SQL実行エラーの処理指定→ERRMODE_EXCEPTION:例外をスローする //FETCH_ASSOC カラム名をキーとする連想配列で取得する [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, ] ); // データベースへデータを挿入する処理 // プリペアードステートメント $stmt = $pdo->prepare('SELECT * FROM survey WHERE nickname = ? AND email = ? And comment= ? '); // 値を挟みこむ $stmt->bindValue(1,$nickname); $stmt->bindValue(2,$mailAd); $stmt->bindValue(3,$comment); $stmt->execute(); //データベースから切断ーーーーーーーーーーーーーーー $pdo=null; }catch(PDOException $e){ header('Content-Type: text/plain; charset=UTF-8', true, 500); exit($e->getMessage()); } header('Content-Type: text/html; charset=utf-8'); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head> <body> <?php echo htmlspecialchars($nickname); echo '様<br>'; echo 'ご意見ありがとうございました。<br>'; echo '頂いたご意見『'; echo htmlspecialchars($comment); echo '』<br>'; echo htmlspecialchars($mailAd); echo 'にメールを送りましたのでご確認ください。<br>'; //メール送信ーーーーーーーーーーーーーーーーーーーー // $mail_sub='アンケート受け付けました。'; // $mail_body=$nickname."様へ\nアンケートご協力ありがとうございました。"; // $mail_body=html_entity_decode($mail_body,ENT_QUOTES,"UTF-8"); // $mail_head='From:otayousuke0724@gmail.com'; // mb_language('Japanese'); // mb_internal_encoding('UTF-8'); // mb_send_mail($mailAd,$mail_sub,$mail_body,$mail_head); ?> </body> </html>
>anketo
英語でしたいなら
questionnaireもしくはsurvey
本来はフランス語でenquête
ありがとうございます。
phpkiso → phpBasic
anketo → survey
に修正します。今後も変数など命名時には気を付けようと思います。
ほぼ揚げ足取りなのでそこまで気にしなくても良いとは思いますが、
変なカタカナ英語にするくらいなら日本語をローマ字表記にしたほうが良いという意見はあります。
せめて中学生英語の組み合わせくらいにはしたいところですね。
直す気はないのね。
今後は無視します。
確かに、
>英字を全角文字で書くのは止めましょう。
こっちのほうが大事ですけどね。
参考にした書籍等の出典を明記してください。引用要件を満たすために必要です。
MySQL
INSERT
HTML
Admin
目についたものだけでいっぱいありますね。
修正後のSQL文が、INSERTではなく、SELECT文になっていますよ
php_basicに修正します。全角半角の意味を誤解していました。
書籍は以下のものを参考にしています。
書籍 いきなりはじめるPHP
著者 谷藤健一
>いきなりはじめるPHP
全角英数やめないのはいやがらせでしょうか。
回答1件
0
とりあえずは
PHP
1$stmt=$dbh->prepare('$sql');
↓
PHP
1$stmt=$dbh->prepare($sql);
への修正は必須です。
これだけでとりあえずは動くかもしれません。
理由は
PHPマニュアル 文字列
引用符(シングルクォーテーション)
注意: ダブルクォート 構文や heredoc 構文とは異なり、 変数と特殊文字のエスケープシーケンスは、 引用符 (シングルクオート) で括られた文字列にある場合には展開されません。
を参照して、サンプルコードを実際に動かしてみると理解しやすいかと思います。
PHP シングルクォート ダブルクォート 変数あたりで検索してもわかりやすい説明にあたります。
ただ、とりあえず動いたとしてもSQLの組み立て方としてはセキュリティ的にNGです。
具体的には
PHP
1$sql='INSERT INTO anketo(nickname,email,comment)VALUES("'.$nickname.'","'.$mailAd.'","'.$comment.'")';
この様に文字列連結でSQLを構築すると、prepare()とexecute()を行う意味がほぼなくなり、SQLインジェクション脆弱性を作り込むことになります。
もし、このコードが教科書等に掲載されていたものなのであれば、教材を変更することは必須なくらいには不味い記述です。
PHP
1$nickname=htmlspecialchars($nickname); 2$mailAd=htmlspecialchars($mailAd); 3$comment=htmlspecialchars($comment);
についてはデータベースに挿入するデータとしては完全に不適切なのでやってはいけません。
(HTML出力に時にも使っておりそちらは正しいので、一度変数に格納するのではなく、HTML出力する時に適宜htmlspecialchars()でエスケープをするのが良いです)
また、
PHPマニュアル PDO::prepare()
の説明とサンプル
PHPでデータベースに接続するときのまとめ
を参考にして、プレースホルダとbindValue() もしくは bindParam()でSQLを構築してください。
php上ではエラーが現れず、原因を特定することができません。
というのもPDOのパラメータの問題です。
PDOはデフォルトではエラー出力が大きく抑制されるので、前述のPHPでデータベースに接続するときのまとめのPDO::ERRMODE_EXCEPTIONを参照して設定してみてください。
投稿2021/01/23 16:43
総合スコア18713
あなたの回答
tips
プレビュー
