ＳＱＬ文で２つめのプレースホルダーが使えない

下記のLIMITのところは元々は手動で１５に設定していました。
（とりあえずテストのため）

例えば、賃貸住宅サイトの物件検索ページがあったとします。
表示件数をセレクトボッスクで選択してその値を下記のようにLIMITのプレースホルダーに割り当てたいのでですがどうもうまくいきません。

$sql = "
SELECT
a.`id`,
a.`title`,
a.`area`,
a.`buildingtype`,
a.`floorplan`,
a.`rento`,
a.`deposit`,
a.`keymoney`,
a.`body`,
a.`created`,
a.`modified`,
c.`companyName`
FROM articles a
INNER JOIN users u ON a.`user_id` = u.`id`
INNER JOIN companys c ON u.`company_id`= c.`id`
WHERE title LIKE ?
LIMIT ?
";

$search = htmlspecialchars('%'.filter_input(INPUT_GET,"searchs").'%');
$shredded = htmlspecialchars(filter_input(INPUT_GET,"shredded"));

$bodys = $pdo->prepare($sql);
$bodys->execute([
$search,
$shredded
]);

下の２つも試しましたがどうもうまくいきません。
解決策となにがいけないのかを教えていただけないでしょうか。


WHERE title LIKE ?
LIMIT ?
";

$search = htmlspecialchars('%'.filter_input(INPUT_GET,"searchs").'%');
$shredded = htmlspecialchars(filter_input(INPUT_GET,"shredded"));

$bodys = $pdo->prepare($sql);
$bodys = bindValue(1, $search, PDO::PARAM_STR);
$bodys = bindValue(2, $shredded, PDO::PARAM_INT);
$bodys->execute();

WHERE title LIKE :search
LIMIT :shredded
";

$search = htmlspecialchars('%'.filter_input(INPUT_GET,"searchs").'%');
$shredded = htmlspecialchars(filter_input(INPUT_GET,"shredded"));

$bodys = $pdo->prepare($sql);
$bodys = bindValue(':search', $search, PDO::PARAM_STR);
$bodys = bindValue(':shredded', $shredded, PDO::PARAM_INT);
$bodys->execute();

行動規範の内容に同意します

回答2件

$bodys = bindValue(

$bodys->bindValue(
ではないのでしょうか？
ただのtypoですか?

ちなみにSQLにデータを渡すときはhtmlspecialchars()しなくて良いと思います

まぁPDOあるあるとしてLIMIT句はINT限定でめんどうなので
$shredded = filter_input(INPUT_GET,"shredded",FILTER_VALIDATE_INT,["options"=>["default"=>0]]);
のようにして、INTのバリデートをした上で
$sql = sprintf("SELECT ・・・ LIMIT %s",$shredded);
のように最初から埋め込んでしまう手もあります

#追記
sprintfの「%s」は「%d」の方がより直感的かもしれないですね
まぁバリデートしているので%sでも十分なんですが

投稿2016/08/30 02:22

編集2016/08/30 02:37

yambejp

総合スコア114839

earnest_gay

2016/08/30 02:32

前にも似たようなことをしたような... ありがとうございます！

earnest_gay

2016/08/30 02:35

ちなみにGET送信なのでhtmlspcialcharsやっておかないとＸＳＳ無害化できないんじゃないんですか？

yambejp

2016/08/30 02:38

htmlspecialchars()は、HTMLで出力される時のセキュリティ処理ですから SQLで検索をかけるときに余計なことをすると値がマッチしない可能性があります

earnest_gay

2016/08/30 02:43

HTMLで入力を受けつけるときと思っていました。 HTMLで出力される時、ですね。ありがとうございます。

行動規範の内容に同意します

自己解決

WHERE title LIKE :search
LIMIT :shredded;
";

$search = htmlspecialchars('%'.filter_input(INPUT_GET,"searchs").'%');
$shredded = (INT)htmlspecialchars(filter_input(INPUT_GET,"shredded"));

$bodys = $pdo->prepare($sql);
$bodys -> bindValue(":search",$search,PDO::PARAM_STR);
$bodys -> bindValue(":shredded",$shredded,PDO::PARAM_INT);
$bodys -> execute();

http://matty-studio.jp/post-35/

投稿2016/08/30 02:18

earnest_gay

総合スコア615