質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.49%

  • MySQL

    7110questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

mysqlでクエリーのエラーを出してくれない

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 682

v_root

score 43

PHPで受け取ったIDとパスワードで、select * from users_info where mail='petrov@t-answer.jp' AND password=''というSQL文があったとします。ANDを使っているので、クエリーのエラーがでると思ってましたが、エラーが出ませんでした。条件式が成り立っていないはずなのに、エラーがでないのはなぜ何でしょうか??また、どうしたらエラーを出してくれるのか気になります。わかる方ご教授お願いします。

ちなみに実行結果はempty set(何もでない)でした。

[追記]

<!DOCTYPE html>
<html>
<head>
    <title>ログイン画面</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf8">
    <link rel="stylesheet" type="text/css" href="css/app_style.css">
</head>
<body>
<div>
  <h1>ログイン</h1><br>
  <form method='POST'>
    <input type="email" name="mail" placeholder="Email">
    <input type="password" name="pass" placeholder="Password">
    <br>
    <input type="submit" name="login_user" value="ログイン">
  </form>

  <form method='POST' action='user_create.php'>
   <input type="submit" name="new" value="新規">
  </form>
  <a href="reset_pass.php">パスワード忘れた場合</a>

<?php
require ('mysql_connect.php');

if (isset($_POST['login_user'])) {
    $mail = $_REQUEST['mail'];
    $pass = $_REQUEST['pass'];
    $is_login = false;
    if (!empty($mail) AND !empty($pass)) {
        $sql_query = mysql_query("select * from users_info where mail='" . $mail . "' and password='" . $pass . "'");

        if ($sql_query)) {
            $is_login = true;
        } else {
            echo "<p align='left' style='color: red;'>メールまたはパスワードが間違っています。</p>";
        }
    } else {
        if (empty($mail)) {
            echo "<p align='left' style='color: red;'>メールが空です。</p>";
        }
        if (empty($pass)) {
            echo "<p align='left' style='color: red;'>パスワードが空です。</p>";
        }
    }
    if ($is_login == true) {
        header("Location: ./top.php");
        mysql_close($sql_connect);
        exit;
    }
}
?>

</div>
</body>
</html>

上記の部分「if ($sql_query))」の条件式でいけるかなと思ったのですが、SQL文自体にエラーがなかったので、条件式が成立してしまっている状態です。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • tanat

    2016/07/20 15:49

    現在の情報だと考えられる可能性が多すぎるので
    ソース全文もしくは以下部分を全て提示して下さい。
    POST値の取得部分、
    DB接続部分、
    SQLを組み立てている部分、
    クエリを実行している部分、

    キャンセル

回答 2

checkベストアンサー

+1

クエリーのエラーがでると思ってましたが、エラーが出ませんでした。
ANDは正しい文法ですので、SELECTは0件でしたの正常リターンになったのではないでしょか
プログラムの中で0件は、NOTFOUNDエラーとするのが良いかと

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/20 16:05

    確かにその方が簡単かもしれませんね!ありがとうございます

    キャンセル

0

ソースコードの提示ありがとうございます。

require ('mysql_connect.php');

はおそらく、mysql_connect()でmysqlに接続しているだけと仮定します。

回答とは関係ありませんが、重要なので先に2点、

mysql_* 系の関数は古くて非推奨になっているので、使わないほうがいいです。

また、現在のソースコードには深刻なSQLインジェクション脆弱性を抱えているので修正の必要があります。
具体的には攻撃者は任意のユーザに成りすましてログインすることが可能なコードになっています。

おそらく古い参考書やサイトを参考にされたかと思いますので、ここ1-2年くらいのサイト/参考書を参考にしなおされるのがいいかと思います。

質問に対する回答としては

select * from users_info where mail='petrov@t-answer.jp' AND password=''

これはSQL文としては正しいので、

$sql_query = mysql_query("select * from users_info where mail='" . $mail . "' and password='" . $pass . "'");

$sql_queryには結果セットが返却されます。
そのため、

if($sql_query)


は常にtrueになります。
これを回避するには、$sql_queryをfetchした結果がfalseになるか、
 select count(*) from 
のようなSQLにして、結果をfetchして件数が一件であることを確認するというのがよくある方法です。

今回試みようとされている
「ユーザの入力によって不正なSQL文が作られてしまうことを利用してエラーハンドリングを行う」
というアプローチは、そのままSQLインジェクション脆弱性を作りこんでしまう事になってしまうため、
ユーザが完全に信頼できる場合(例えばphpMyAdminの様に管理者以外は触らないことを前提にする場合)を除いては

セキュリティ上絶対にやってはいけないアプローチ

となります。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/20 16:27

    ご回答ありがとうございます。fetchしたらうまくいきました。pdoはとりあえず後で使おうかと思います。(よくわからないし…)

    キャンセル

同じタグがついた質問を見る

  • MySQL

    7110questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。