PHPでデータベース操作時のエラー表示について

phpでログインシステムを作り、データベース登録情報の編集（修正、追加、削除）をする処理を作成しています。

実行時、以下のエラーが表示されます。
Parse error: syntax error, unexpected variable "$table" in C:\xampp\htdocs\user_system\masterpage_edit_sql.php on line 41

エラー内容は記号の入力ミスであったりカッコやダブルクォーテーションの閉じ忘れだったりと、単純ミスがほとんどのエラー原因とのことです。
例外処理など未完全なコードではありますが、エラー表示の原因を特定したいです。
力量不足で原因の特定ができず悩んでおります。お力添えいただけますでしょうか。
初歩的なミスかもしれませんが、よろしくお願いいたします。

<?php //DB設定情報 $db_dsn='mysql:host=localhost;dbname=login_system'; $db_user='root'; $db_password=''; //入力ページから値の受け取り $sql_type = $_POST["sql_type"]; $table = $_POST["table"]; $before_date = $_POST["before_date"]; $after_date = $_POST["after_date"]; //テーブルに対応したカラムを取得 switch ($table) { case "m_affiliation": $columm = "affiliation"; break; case "m_department": $columm = "department"; break; case "m_occupation": $columm = "occupation"; break; case "m_position": $columm = "position"; break; case "m_prefectures": $columm = "base"; break; case "m_work_history": $columm = "join_category"; break; default: echo ※入力内容に誤りがあります; } if($sql_type == "update") { //編集画面で修正を受け取った場合、項目でテーブル指定して、beforeの値をafterでupdateする。 try { $pdo = new PDO($db_dsn,$db_user,$db_password); $sql = UPDATE $table SET $columm = $after_date WHERE $columm = $before_date; $stmt = $pdo->query($sql); $stmt->execute(); echo updateOK; } elseif($sql_type == "insert") { //編集で追加を受け取った場合、項目でテーブル指定して、afterの値をinsertで追加する。 try { $pdo = new PDO($db_dsn,$db_user,$db_password); $sql = INSERT INTO $table ($culumm) VALUES ($after_date); $stmt = $pdo->query($sql); $stmt->execute(); echo insertOK; } } elseif ($sql_type == "delete") { //編集で削除を受け取った場合、項目でテーブル指定して、削除フラグであるdelの値を1に変更する。 try { $pdo = new PDO($db_dsn,$db_user,$db_password); $sql = "UPDATE $table SET del = 1 WHERE $columm = $before_date; $stmt = $pdo->query($sql); $stmt->execute(); echo deleteOK; } } else { echo ※入力内容に誤りがあります; } } ?>

m.ts10806

2021/03/10 04:04

コードはマークダウンのcode機能にてご提示くださいあと、本当にコードこのままなら変数とか文字列あたりからPHPマニュアル確認して確実におさえられたほうが苦労は減ると思います。

行動規範の内容に同意します

回答3件

今回の件はSQL文を文字列で指定していないからですが
外から指定したテーブル名やカラム名をSQLに直接埋め込むのは
極めて危険なので絶対にやめてください。

テーブル名やカラム名を指定するなら、ホワイトリストをつくって
合致した場合だけにしてください

またデータについてはprepareで処理してください

投稿2021/03/10 04:37

yambejp

総合スコア116690

tera0011

2021/03/10 05:46

回答ありがとうございます！危険というのはSQLインジェクション等のセキュリティの観念でよろしいでしょうか？またprepareを用いて変数部分を置き換えると以下のようなコードで問題ありませんでしょうか？ $sql = "INSERT INTO ? ( ? ) VALUES ( ? )"; $stmt = $pdo->prepare($sql); $stmt->execute(array($table,$culumn,$after_date)); 質問の内容は解決したのですが現在、($culumm)が存在しないというエラーと、$sqlのVALUE部分は全てのカラムを指定しなければいけないかと感じています。カラム数は＄tableの値で変動するので全ての指定は避けたいのですが、ご意見伺えると助かります。

yambejp

2021/03/10 06:01 編集

> $sql = "INSERT INTO ? ( ? ) VALUES ( ? )"; いえ違います。prepareで処理できるのはあくまでもデータのみです。テーブル名を指定する場合は予めアクセス可能なテーブル一覧 (例えば$tables)をつくっておいて in_array($table,$tables,true) のようなチェックが必要ということです。 (カラムについても同様) チェックを通った場合のみ変数を埋め込んでOKです $sql = "INSERT INTO `$table` (`$col` ) VALUES ( ? )"; 値は、上記のような疑問符型か、ラベル型で指定すればOKです（もしくは直接変数を埋め込まずsprintfなどで指定するとか）

tera0011

2021/03/15 00:54

詳細ありがとうございました！こちらでも勉強しある程度把握でき、セキュリティの知識を付けることが出来ました。また何かありましたらよろしくお願いいたします。

行動規範の内容に同意します

このようなエラー（Parse error: syntax error）の場合で記述ミスの箇所を特定できない場合は、単純に早く見つけたいなら、コードを少しずつ削っていってエラーが出なくなるまで試すことです。エラーが出なくなったら削った場所に記述ミスがある可能性が高いです。

また、開発環境にPhpStormやEclipseなどのIDEを導入すると、このようなミスを事前に気付くことができますので、その辺も調べてみるといいと思います。

投稿2021/03/10 04:18

AbeTakashi

総合スコア4853

tera0011

2021/03/10 05:50

回答ありがとうございます！記述ミスの箇所は分かったのですが詳細を判断する知識がありませんでした・・・エラー対処をご教示いただきありがとうございます。 ATOMを使用していたのですが、エラー表示については他のツールのがよろしいのでしょうか？ IDEについても調べて導入を検討させていただきます。

AbeTakashi

2021/03/10 06:00

テキストエディタをお使いであれば、今ならVisual Studio Codeの方が情報も多いでしょうし、なにより軽いと思います。PHPのプラグインを導入すれば、ダブルコーテーションの片方が抜けていて構文的におかしい場合などの箇所には破線が表示されてすぐに気づけると思います。ATOMでもそのようなプラグインはあるかと思いますので、ATOMを使い続けるのであればプラグインの設定などももう少し詰めるといいでしょう。

tera0011

2021/03/15 00:56

詳細な情報を教えていただきありがとうございました。自分でも何個か比較してVisual Studio Code導入いたしました！色々使っていきたいと思います。

行動規範の内容に同意します

ベストアンサー

SQL文は"SQL文ですDBからデータを持ってきてね"
このようにダブルクオーテーションで囲いましょう。

以下蛇足です。
文字列で渡してるんかなぁと思います。
変数に文字列を格納するときも" "で囲うでしょう？

ダブルクォーテーションの閉じ忘れだったり

ご自身でもすでに書かれているので、「まずコードを確認しましょう」ですかね。
他の方だともっと辛めのお小言が付くかと思います。
「そこまで調べておいてなぜ指摘されている箇所のコードをちゃんと見ないのか」
とか、こんな感じになるかなと。

投稿2021/03/10 04:04

編集2021/03/10 04:08

退会済みユーザー

総合スコア0

m.ts10806

2021/03/10 04:11

line 41 って何のことだと思ってるんだろうなあ、とは毎度感じます。

tera0011

2021/03/10 05:52

質問に対しての的確なご回答をありがとうございます。基礎知識不足でした、、、改めて学習しなおします！

退会済みユーザー

2021/03/10 08:15

> m.ts10806様自分の時はどうだったかなぁと考えてみましたが、特に詰まった覚えがないです。恐らくググった際に「数字の行数を見て間違いを探そう」という記述があったからかなと思います。既に大昔なので忘れていますがっ > tera0011様ググって比較的新しい記事からコードを丸ぱくりして、動いたら自分の環境（変数とか）に合わせて変えていくのが良いかもしれません。コードを公開してくれている人にひたすら感謝しながらカスタマイズしましょう。そのまま動かないコードを公開してくれている人には心の中で舌打ちをしておきましょう。動くものを動く範囲で変えているとどうすると壊れるのかわかるようになるので、動かないものを積み上げていくよりも楽ですよ。

tera0011

2021/03/15 00:57

色々な記事みて参考にし、無事問題は解決できました。回答ありがとうございました！BAにさせていただきました。

行動規範の内容に同意します

あなたの回答