質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

1回答

1731閲覧

XAMPP MySQLデータベースにINSERTできません

退会済みユーザー

退会済みユーザー

総合スコア0

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

1クリップ

投稿2021/01/23 15:51

編集2021/01/24 03:46

データベースに「名前、意見、メアド」の3要素をINSERTしたいのですがうまくいきません。
試しにデータベースに直でINSERTしてみるとデータは正常登録されました。php上ではエラーが現れず、原因を特定することができません。(メール送信部分のみ全てコメントアウトするとWarning含めすべてエラーは無くなります。)
他になにか見直すべきところがあれば教えていただけませんか。

PHP:7.4.13
PC:Windows 10pro

php

1<!DOCTYPE html> 2<html lang="ja"> 3<head> 4 <meta charset="UTF-8"> 5 <meta name="viewport" content="width=device-width, initial-scale=1.0"> 6 <title>Document</title> 7</head> 8<body> 9 10<?php 11//データベースに接続する。ーーーーーーーーーーー 12$dsn='mysql:dbname=phpkiso;host=localhost;charset=utf8'; 13$user='root'; 14$password=''; 15 16$dbh=new PDO($dsn,$user,$password); 17$dbh->query('SET NAME utf8'); 18 19$nickname=$_POST['nickname']; 20$mailAd=$_POST['mailAd']; 21$comment=$_POST['comment']; 22 23$nickname=htmlspecialchars($nickname); 24$mailAd=htmlspecialchars($mailAd); 25$comment=htmlspecialchars($comment); 26 27print $nickname; 28print '様<br>'; 29print 'ご意見ありがとうございました。<br>'; 30print '頂いたご意見『'; 31print $comment; 32print '』<br>'; 33print $mailAd; 34print 'にメールを送りましたのでご確認ください。<br>'; 35 36//メール送信ーーーーーーーーーーーーーーーーーーーー 37$mail_sub='アンケート受け付けました。'; 38$mail_body=$nickname."様へ\nアンケートご協力ありがとうございました。"; 39$mail_body=html_entity_decode($mail_body,ENT_QUOTES,"UTF-8"); 40$mail_head='From:otayousuke0724@gmail.com'; 41mb_language('Japanese'); 42mb_internal_encoding('UTF-8'); 43mb_send_mail($mailAd,$mail_sub,$mail_body,$mail_head); 44 45//MySQLへSQL文で命令ーーーーーーーーーーーーーーーー 46$sql='INSERT INTO anketo(nickname,email,comment)VALUES("'.$nickname.'","'.$mailAd.'","'.$comment.'")'; 47$stmt=$dbh->prepare('$sql'); 48$stmt->execute(); 49 50//データベースから切断ーーーーーーーーーーーーーーー 51$dbh=null; 52?> 53</body> 54</html>

データベースの変数名
イメージ説明
PHPでは正常に変数に格納されました
イメージ説明


動作の問題修正
①シングルクォテーション
→ $stmt=$dbh->prepare($sql);
確かに上の通り修正すると変数sqlが展開され、PHPからデータベースにINSERTされる動作が確認できました。おっしゃる通りシングルクォテーションを使っていたため、中身が変数展開されていませんでした。
ーーーーーーーーーーーーーーーーーーーーーーーー

セキュリティの問題修正
②htmlspecialchars()
→HTML表示箇所に適宜適用、データベースには変数のまま手をくわえず代入
③プリペアドステートメント と プレースホルダ ーを使用した構築

データベース接続部はhtmlタグ外へ出して、分別修正しました。
phpとAdminでデータベースとテーブル名を修正。
(→php_basic >> survey)
以上を修正したところ、INSERTができませんでした。
上記エラー画面から変化ありません。

<?php try{ // リクエストからスーパーグローバル変数を取得ーーーーー $nickname=$_POST['nickname']; $mailAd=$_POST['mailAd']; $comment=$_POST['comment']; //ーーーデータベースに接続する。ーーーーー $pdo=new PDO('mysql:dbname=php_basic;host=localhost;charset=utf8','root','', // SQL実行エラーの処理指定→ERRMODE_EXCEPTION:例外をスローする //FETCH_ASSOC カラム名をキーとする連想配列で取得する [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, ] ); // データベースへデータを挿入する処理 // プリペアードステートメント $stmt = $pdo->prepare('SELECT * FROM survey WHERE nickname = ? AND email = ? And comment= ? '); // 値を挟みこむ $stmt->bindValue(1,$nickname); $stmt->bindValue(2,$mailAd); $stmt->bindValue(3,$comment); $stmt->execute(); //データベースから切断ーーーーーーーーーーーーーーー $pdo=null; }catch(PDOException $e){ header('Content-Type: text/plain; charset=UTF-8', true, 500); exit($e->getMessage()); } header('Content-Type: text/html; charset=utf-8'); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head> <body> <?php echo htmlspecialchars($nickname); echo '様<br>'; echo 'ご意見ありがとうございました。<br>'; echo '頂いたご意見『'; echo htmlspecialchars($comment); echo '』<br>'; echo htmlspecialchars($mailAd); echo 'にメールを送りましたのでご確認ください。<br>'; //メール送信ーーーーーーーーーーーーーーーーーーーー // $mail_sub='アンケート受け付けました。'; // $mail_body=$nickname."様へ\nアンケートご協力ありがとうございました。"; // $mail_body=html_entity_decode($mail_body,ENT_QUOTES,"UTF-8"); // $mail_head='From:otayousuke0724@gmail.com'; // mb_language('Japanese'); // mb_internal_encoding('UTF-8'); // mb_send_mail($mailAd,$mail_sub,$mail_body,$mail_head); ?> </body> </html>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Orlofsky

2021/01/23 18:16

英字を全角文字で書くのは止めましょう。
m.ts10806

2021/01/23 21:01

>anketo 英語でしたいなら questionnaireもしくはsurvey 本来はフランス語でenquête
退会済みユーザー

退会済みユーザー

2021/01/23 23:27

ありがとうございます。 phpkiso → phpBasic anketo → survey に修正します。今後も変数など命名時には気を付けようと思います。
m.ts10806

2021/01/23 23:37

ほぼ揚げ足取りなのでそこまで気にしなくても良いとは思いますが、 変なカタカナ英語にするくらいなら日本語をローマ字表記にしたほうが良いという意見はあります。 せめて中学生英語の組み合わせくらいにはしたいところですね。
Orlofsky

2021/01/24 00:20

直す気はないのね。 今後は無視します。
m.ts10806

2021/01/24 01:40

確かに、 >英字を全角文字で書くのは止めましょう。 こっちのほうが大事ですけどね。
ockeghem

2021/01/24 02:22

参考にした書籍等の出典を明記してください。引用要件を満たすために必要です。
m.ts10806

2021/01/24 03:47

MySQL INSERT HTML Admin 目についたものだけでいっぱいありますね。
ockeghem

2021/01/24 03:50

修正後のSQL文が、INSERTではなく、SELECT文になっていますよ
退会済みユーザー

退会済みユーザー

2021/01/24 03:59 編集

php_basicに修正します。全角半角の意味を誤解していました。 書籍は以下のものを参考にしています。 書籍 いきなりはじめるPHP  著者 谷藤健一
m.ts10806

2021/01/24 03:58 編集

>いきなりはじめるPHP 全角英数やめないのはいやがらせでしょうか。
guest

回答1

0

とりあえずは

PHP

1$stmt=$dbh->prepare('$sql');

PHP

1$stmt=$dbh->prepare($sql);

への修正は必須です。
これだけでとりあえずは動くかもしれません。
理由は
PHPマニュアル 文字列
引用符(シングルクォーテーション)

注意: ダブルクォート 構文や heredoc 構文とは異なり、 変数と特殊文字のエスケープシーケンスは、 引用符 (シングルクオート) で括られた文字列にある場合には展開されません。

を参照して、サンプルコードを実際に動かしてみると理解しやすいかと思います。
PHP シングルクォート ダブルクォート 変数あたりで検索してもわかりやすい説明にあたります。

ただ、とりあえず動いたとしてもSQLの組み立て方としてはセキュリティ的にNGです。
具体的には

PHP

1$sql='INSERT INTO anketo(nickname,email,comment)VALUES("'.$nickname.'","'.$mailAd.'","'.$comment.'")';

この様に文字列連結でSQLを構築すると、prepare()execute()を行う意味がほぼなくなり、SQLインジェクション脆弱性を作り込むことになります。
もし、このコードが教科書等に掲載されていたものなのであれば、教材を変更することは必須なくらいには不味い記述です。

PHP

1$nickname=htmlspecialchars($nickname); 2$mailAd=htmlspecialchars($mailAd); 3$comment=htmlspecialchars($comment);

についてはデータベースに挿入するデータとしては完全に不適切なのでやってはいけません。
(HTML出力に時にも使っておりそちらは正しいので、一度変数に格納するのではなく、HTML出力する時に適宜htmlspecialchars()でエスケープをするのが良いです)

また、

PHPマニュアル PDO::prepare()
の説明とサンプル
PHPでデータベースに接続するときのまとめ

を参考にして、プレースホルダとbindValue() もしくは bindParam()でSQLを構築してください。

php上ではエラーが現れず、原因を特定することができません。

というのもPDOのパラメータの問題です。
PDOはデフォルトではエラー出力が大きく抑制されるので、前述のPHPでデータベースに接続するときのまとめPDO::ERRMODE_EXCEPTIONを参照して設定してみてください。

投稿2021/01/23 16:43

tanat

総合スコア18727

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問