Q&A
prepareメソッドを見直してみては。
1. やりたい・やりたかったこと
以下のSQL文で条件を絞っていき、配列に値がない場合は処理を終了して前画面に戻したいのですが、何故か以下の文を入れると配列を全て取り出せなくなります。
SQL文
PHP
1$sql="SELECT name,attribute,type,number FROM mst_product 2 WHERE 3 name LIKE '%$pro_name%' 4 AND 5 attribute LIKE '%$pro_attribute%' 6 AND 7 type LIKE '%$pro_type%' 8 AND 9 number LIKE '%$pro_number%'"; 10$stmt=$dbh->prepare($sql); 11$stmt->execute(); 12
検索で絞り込んだ配列に値がない場合は処理を終わらせるためのコード(これを書かなければ配列の値は全て上手くプリントされる
PHP
1$check=$stmt->fetch(PDO::FETCH_ASSOC); 2if(empty($check)){ 3 echo '検索したカードが存在しません。'; 4 echo '<a href="' . $_SERVER['HTTP_REFERER'] . '">戻る</a>'; //戻るボタンの実装記事 https://blanche-toile.com/web/history-back 5 exit(); 6} 7
2. 起きている問題やエラーメッセージ
エラーはないのですが先述通り、何故か値が全て取り出せません。
全体のソースコード
PHP
1<!DOCTYPE html> 2<html> 3<head> 4<meta charset="UTF-8"> 5<title>トレカDB</title> 6</head> 7<body> 8 9<?php 10 11header("Content-type: text/html; charset=utf-8"); # このコードはコンテンツはhtmlで文字コードはutf-8であるという意味。通常はプログラムでわざわざ指定しなくても 12#Webサーバが勝手につけてくれますが、プログラムから指定しているのは、より明示的に文字化けや、文字コードの違いを利用したXSS攻撃等を防ぐ 13 14try 15{ 16 17print 'カード一覧<br /><br />'; 18 19$pro_name=$_POST['name']; //前画面でユーザーにWEBでTextを入力させた結果を変数に代入 20$pro_attribute=$_POST['attribute']; 21$pro_type=$_POST['type']; 22$pro_number=$_POST['number']; 23 24print$_POST['name']; 25echo '<br>'; 26print$_POST['attribute']; //テスト用 27echo '<br>'; 28print$_POST['type']; 29echo '<br>'; 30print$_POST['number']; 31echo '<br>'; 32 33if(isset($_POST['type'])==false) { 34 print'値は2つ入っています。'; 35 print '<br />'; 36} 37 38$pro_name=htmlspecialchars($pro_name,ENT_QUOTES,'UTF-8'); 39$pro_attribute=htmlspecialchars($pro_attribute,ENT_QUOTES,'UTF-8'); 40$pro_type=htmlspecialchars($pro_type,ENT_QUOTES,'UTF-8'); 41$pro_number=htmlspecialchars($pro_number,ENT_QUOTES,'UTF-8'); 42 43if($pro_name=='' && $pro_attribute=='' && $pro_type=='' && $pro_number=='' ) 44{ 45 print("検索項目が全て空白です。値を入力してください。"); 46 print '<form>'; 47 print '<input type="button" onclick="history.back()" value="戻る">'; 48 print '</form>'; 49 exit(); 50} 51 52$dsn='mysql:dbname=yugioh;host=localhost;charset=utf8'; 53$user='root'; 54$password=''; 55$dbh=new PDO($dsn,$user,$password); 56$dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION); 57 58$sql="SELECT name,attribute,type,number FROM mst_product 59 WHERE 60 name LIKE '%$pro_name%' 61 AND 62 attribute LIKE '%$pro_attribute%' 63 AND 64 type LIKE '%$pro_type%' 65 AND 66 number LIKE '%$pro_number%'"; 67$stmt=$dbh->prepare($sql); 68$stmt->execute(); 69 70$dbh=null; 71 72$check=$stmt->fetch(PDO::FETCH_ASSOC); 73if(empty($check)){ 74 echo '検索したカードが存在しません。'; 75 echo '<a href="' . $_SERVER['HTTP_REFERER'] . '">戻る</a>'; 76 exit(); 77} 78 79/* print '<form method="post" action="pro_search_branch.php">'; *///追加、修正の機能のために新しく追加したコード(pro_search_branch)はまだ作ってない。 80while(true) 81{ 82 $rec=$stmt->fetch(PDO::FETCH_ASSOC); 83 84 if($rec==false) 85 { 86 break; 87 } 88 /* print_r($rec); 89 echo '<br>'; */ 90 print '<input type="radio" name="procode" value="'.$rec['code']. '">'; 91 print $rec['name'].' 属性:'; 92 print $rec['attribute'].' 種族'; 93 print $rec['type'].' 枚数:'; 94 print $rec['number'].'枚'; 95 print '<br />'; 96 } 97 98} 99 100catch(PDOException $e) 101{ 102 echo "失敗:" . $e->getMessage() . "\n"; 103 exit(); 104} 105 106?> 107 108</body> 109</html>
3. 試したこと
empty関数の代わりにissetを使ったり色々な場所に配列の値確認のコードを入れてみましたがどこに入れても上手く動きませんでした。
PHP
1$sql="SELECT name,attribute,type,number FROM mst_product 2 WHERE 3 name LIKE '%$pro_name%' 4 AND 5 attribute LIKE '%$pro_attribute%' 6 AND 7 type LIKE '%$pro_type%' 8 AND 9 number LIKE '%$pro_number%'"; 10$stmt=$dbh->prepare($sql); 11$stmt->execute(); 12
上記のコードで検索結果が絞られていき、結果が空の場合は処理を終了して戻るボタンを表示したいので、もしそもそものアプローチが間違っていたら教えてくだい。
if (empty($_check['name']) && empty($_check['attribute']) && empty($_check['type']))
このようなコードも試しました。
質問
・上記を踏まえて私のアプローチ(fetchでSQLの配列を取り出してemptyで確認)はあっているのか
・コードに問題はあるか
・確認コードを入れると値が全て取り出せない理由(例えば検索結果が3つあるべきなのに2つしか表示されない)
以上のことを教えていただけると助かります。
よろしくお願いします。
前質問(https://teratail.com/questions/336062)と内容的には同じですよね?
ほったらかしにせず、どちらかはクローズしてから続けた方が良いのでは。
失礼しました。ありがとうございます。
回答1件
0
ベストアンサー
PHPマニュアルで機能確認してください。
結果セットから次の行を取得する
データが取得できた場合は1件取得されています。
「実行したら次のデータを取得する」ので実行した分だけデータが取り出されていきます。
php
1$stmt->fetch(PDO::FETCH_ASSOC); 2$stmt->fetch(PDO::FETCH_ASSOC); 3$stmt->fetch(PDO::FETCH_ASSOC); 4$stmt->fetch(PDO::FETCH_ASSOC);
例え別の変数に代入してなくても参照する行は移動していきます。
id/nameだけ登録する単純なテーブルで試してみたらいいですよ。
なので、
・上記を踏まえて私のアプローチ(fetchでSQLの配列を取り出してemptyで確認)はあっているのか
超間違ってます。
「データが取れないとき」の考慮しかされていません。
PDOStatement::fetchAllで取り出した上でPHPのcount()で確認するか、fetch使いたければSQL側で別途count()を発行して結果を確認したほうが良いでしょう。
・コードに問題はあるか
以前の質問で指摘した通り、参考にした書籍に問題があるので、問題だらけです。
諸々含めて指摘してくれている記事は沢山あります。
などなど。
特に
- SQLインジェクション問題
- 不要なところでHTMLエスケープしてる問題
は深刻です。
HTML的に
if($pro_name=='' && $pro_attribute=='' && $pro_type=='' && $pro_number=='' )
ここに入った時に</body></html>が出力されないのも問題と言っていいかもしれません。
PHPでデータベース扱う上では、下記の記事は読んでおいて損はないですし、熟練者でも何度も見返し、またteratailの回答でも参照されます。
HTMLエスケープ含めた問題については下記の記事も参考になるでしょう。
これらを”最低限”おさえた上でないと学習としても「問題はない」と言い切れないのではないでしょうか。
PHPに関しては名前負けしている書籍が多すぎます。
PHPマニュアルのチュートリアル的なところを通すこと、Qiitaの評価されている記事を読むこと(裏取りをPHPマニュアルですること)のほうが余程効率的で確実なスキルが身に付きます。
$pro_* という変数名を見ると「あぁ・・またあの書籍か」とため息が出る回答者も少なくないのでは。
変数も関数も開発者にとって”命名”されるものなので、「書籍を真似して・・・」ではなく、ちゃんと考えて、意味を持たせてほしいです。子供に名前を付ける・・・とまではいかないまでも、命を吹き込むつもりでやってもいいくらいです。
こういうところを初心者の段階から気を付けるだけでも今後の成長に多大に良い影響があるのですが、中々ですね。
ずっとteratailで初心者から抜け出せないままの人の多くは同じような特徴を持っています。
「今の問題が解決すればいい」「今起きてる問題が解決しさえすればいい」タイプですね。
赤の他人なのであまりとやかく言ってもなんですが、せっかくプログラミングに関わるなら、どんな形でも間違った方向に進んでほしくないし、やりたいことがあるならそれをより良い形で実現してほしいですし。
もし何かしらで公開するようなWebアプリケーションにするのなら、そのアプリケーション利用者に迷惑の掛からないような安全なアプリケーションにしてもらいたいですしね。
投稿2021/05/02 08:39
編集2021/05/02 08:43
総合スコア80850
いつもコメントありがとうございます。
一通り、リンクを送っていただいた記事を拝見しましたが、正直に申しますと今の私にはレベルが高すぎて理解できないものがほとんどでした。でしたが今後の学習で躓いた時などはなるべく参考にして理解できるように努めたいと思います。
土台は「気付けばプロ並み」を使っていますが一応、このコードの大半は自分で書いており本とは違うサービスを自分でXAMPPで書いているところです。特にセキュリティなど甘いところはありますが、まずは設計した通りに作ってからSQLインジェクションなどの対策は行うつもりです。
質問なのですが、
超間違ってます。
「データが取れないとき」の考慮しかされていません。
PDOStatement::fetchAllで取り出した上でPHPのcount()で確認するか、fetch使いたければSQL側で別途count()を発行して結果を確認したほうが良いでしょう。
とご回答いただけましたが、私はデータをとれない時の処理を書こうとしているのですが他に何を想定して書くべきなのでしょうか?
まずこの処理を追加したい背景としましては
1.前画面でユーザーが入力した値をPOSTで受け取りどの条件でも正常にDBから値を取り出して表示することに成功した
2.さらに値が空の場合は、戻るボタンで前の画面に戻す処理を入れた
3.検索結果がDBにない場合は何も表示されないのでSQL文をexecuteした結果が空だった時に後続の処理に行かずに、メッセージと戻るボタンを表示させたい。ですのでempty関数で実装できるではないかな?と考えました。
以上、よろしくお願いします。
>まずは設計した通りに作ってからSQLインジェクションなどの対策は行うつもりです。
でしたら、設計にSQLインジェクション対策が入ってないのは間違ってます。設計を見直してください。
>とご回答いただけましたが、私はデータをとれない時の処理を書こうとしているのですが他に何を想定して書くべきなのでしょうか?
設計がどうなっているか分かりませんが通常なら
「取れたとき~~~~。取れなかったとき~~~~」のようになっているはずで。
フローチャート書いてみると良いです。
いずれにしても「取れたとき」に既に1件取り出された状態で始まる機能を使っているので、その機能を使うSQLにはなっていない部分。
そこは指摘した通りです。
emptyは「0」や「false」もtrue返すので(PHPマニュアル参照)、利用には注意が必要です。
var_dump(empty(1));
var_dump(empty(0));
var_dump(empty('0'));
var_dump(empty(true));
var_dump(empty(false));
もし、初学者である自覚があるのでしたらPHPマニュアル活用できるようになるところからかと思います。
・PHPマニュアルを活用できることになること
・エラーメッセージを読めるようになること
・デバッグできるようになること(環境を整えること)
が、当面の課題で、急務です。
やりたいことをやるための地盤づくりなしにプログラミングはできるようになりません。
プログラムは書いたとおりにしか動きません。
>土台は「気付けばプロ並み」を使っていますが一応、このコードの大半は自分で書いており本とは違うサービスを自分でXAMPPで書いているところです
もし、「あれこれどうやるんだっけ」で確認するのがその本でしたらもはや大半、本に依存しているので認識改めるところから。
既に指摘したように、PHPマニュアルを主に切り替えてください。これも急務です。PHPマニュアル活用できるようにならないとずっと初心者です(そういう人がずっとteratailで同じような質問を繰り返し、同じような指摘を受け続けています。それだけ大事。たとえ趣味でも)
回答に長々書いたことで筋が伝わってなかったのならそこはこちらの配慮が足りなかったということで謝りますが、「やりたいことだけ」やってても「必要なこと」を抜きにしてはアプリケーション動きません。
急がば回れ。王道なしです。
まず回答全体読んで、自身に足りない部分や先にやっておくべきことを感じ取ってもらいたいです。
いつもご回答ありがとうございます。
なんとかマニュアルを活用して実装することができました。
具体的にはfetchAllでSQLの結果を取り出してその値をemptyで判定しました。
そうしたら下のwhile文が動かなくなったのでforeachでfeachAllの値を取り出すように変更しました。
>具体的にはfetchAllでSQLの結果を取り出してその値をemptyで判定しました。
回答には「countで」とPHPマニュアルのリンクも提示したのに。。。
すいません。fetchAllのマニュアルを読んだときにemptyでチェックすれば解決するのではないのかな?と思い実装してみたら思った通りに動いたのでそのようにしました。まだ私の理解が追いついていないのでもしcountの方が良い理由があれば今後の参考にしたいので教えていただけないでしょうか?
さらに私の理解ではcountを使った方が少し文が長くなってしまうのではないかと思い今回はemptyの方が適切なのではと初心者なりの短絡的な判断をしてしまいました。
厚かましいお願いお願いかと思いますがよろしくお願いします。
emptyの是非については2021/05/03 05:02 にコメントしています。
「長くなる」と「適切」は別です。適切なものであれば長いとか関係ないですよ。
返却されるのが「空の配列」なら「配列としてのチェック」が適切です。
あなたの回答
tips
プレビュー
