Q&A
エラーハンドリングして詳細取得するかサーバーのエラーログ確認してください。
##データべースにデータを登録したい
PHPで以下のサイト(https://gray-code.com/php/make-the-board-vol1/)を参考にしながら一言掲示板を作っています。
データベースにデータの登録をするときに問題が発生し、データの登録が正常にできませんでした。
サイト等で検索したところquery部分に問題があることは分かったのですが、それに対してどのように対処すれば良いかわかりませんでした。
解決策のご教示をお願します。
phpmyadminには以下のエラーメッセージが発生しました。
返り値が空でした (行数 0)。 (クエリの実行時間: 0.0002 秒。)
該当のエラーコード
php
1if (empty($error_message)) { 2 3 4 //データベースに接続 5 $mysqli = new mysqli('localhost','root','root','board'); 6 7 //接続エラーの確認 8 if ($mysqli->connect_errno) { 9 $error_message[] = '書き込みに失敗しました。エラー番号'.$mysqli->connect_errno.':'.$mysqli->connect_error; 10 }else { 11 12 // 文字コード設定 13 $mysqli->set_charset('utf8'); 14 15 // 書き込み日時を取得 16 $now_date = date("Y-m-d H:i:s"); 17 18 // データを登録するSQL作成 19 $sql = "INSERT INTO message (view_name, message, post_date) VALUES ( '$clean[view_name]', '$clean[message]', '$now_date')"; 20 21 // データを登録 22 //問題あり? 23 $res = $mysqli->query($sql); 24 25 if( $res ) { 26 $success_message = 'メッセージを書き込みました。'; 27 } else { 28 $error_message[] = '書き込みに失敗しました。'; 29 } 30 31 // データベースの接続を閉じる 32 $mysqli->close(); 33 } 34 }
試したこと> 引用テキスト
データベースへの接続、接続エラーの確認(elseより前のコード)までは問題なく動作することは確認しました。
その他綴り間違い等はありませんでした。
補足情報(FW/ツールのバージョンなど)
Mac (M1)
MAMP
$sql に代入したSQL文を質問に追記ください。
saitopさんが実行したいSQL文になっているか var_dump($sql); とかで表示して確認しましょう。
>返り値が空でした
エラーではないです。SELECT結果で0件だっただけです。
回答2件
0
ベストアンサー
$clean[view_name]じゃなくて$clean['view_name']って表記するんだけど、
$sqlに代入する場面でそれをやっちゃうと大変なことになるので、
悪いことは言わないからプリペアードステートメントのやり方を覚えてください。
php
1$sql = "INSERT INTO message (view_name, message, post_date) VALUES ( ?, ?, now)"; 2$stmt = $mysqli->prepare($sql); 3$stmt->bind_param('ss', $clean['view_name'], $clean['message']); 4$stmt->execute(); 5$res = $stmt->get_result();
みたいな。(あくまで机上のコードで動作させてない。デバッグよろしく)
ざっと一連の教材を見てみましたが、
フォーム入力のサニタイズをしてない、
本来HTML表示用にのみ使うべきhtmlspecialchars()で加工した値をDB保存用に使ってしまう悪手、
SQLインジェクション対策してない、トランザクション処理してない、
PHPに慣れるためだとしても脆弱性対策するやり方を別途学ばなきゃいけないことに
大変注意が必要です。
他の教材も探したほうがよろしいかと。
PDOじゃなくmysqliを使ってるとか他のデータベースを使うときに困るし。
投稿2021/05/20 13:59
編集2021/05/21 01:10
退会済みユーザー
総合スコア0
あと、昨今mysqliも使われなくて、PDOを使いましょうってなってる。
https://qiita.com/mpyw/items/b00b72c5c95aac573b71
つまり、教材が時代遅れ。
ご回答ありがとうございます。今から試してみます。
BAはうまく行ってからね。同じ話題で別の質問とか起こされるとしんどいので。
0
query部分に問題があることは分かったのですが
$sqlをechoで出力し、出力された文字列をphpMyAdminで実行してみてください。
それでエラーなく終了し、想定のデータが登録されているならSQLは問題ないです。
あとは、エラーハンドリングしてください。
このコードだけでは各変数がどのように定義されたか不明ですし、
SQLだけでの正常動作が確認できてなければ、PHPから実行しても当然正常動作しません。
mysqli::$errorは確認する必要がありますが、「エラーハンドリング」としてはtry-catchによる例外処理が一般的で、必須です。
特にMySQLのようなPHPからすると外部の仕組みを利用するのであれば、外部で起きたエラー詳細はちゃんとハンドリングしないと確認できません(エラーログには出てるはずですが)
mysqli_sql_exception
デバッグもしてください。処理がどこまで通っているか。
どの分岐を通り、変数には何が入っているか。
はじめは定義をしている変数全てを確認するくらいがちょうど良いです。
あとmysqliよりPDOのほうが参考できる記事も多く組みやすいと思います。
PHPでデータベースに接続するときのまとめ
現在、SQLインジェクション対策(必須です)されてませんし、全部組み替えるくらいのほうが後々はいいかもしれません。
投稿2021/05/20 14:08
総合スコア80850
PHP5時代のコンテンツの焼き直しっぽい、一連の教材なので、
そこで説明されてないことを求めても辛いのかもしれないなぁ。
(でも許さん)
更新日時に騙されないようにするのは難しそうですね。表示するだけならなんでも出来ますから。
せめてインジェクションの意識は持ってもらいたいところ
あなたの回答
tips
プレビュー
