質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

  • PHP

    21351questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    6180questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

mysql_real_escape_stringを使うと文字化けしてMYSQLに挿入されてしまう。

解決済

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 940

ferarritesta

score 7

前提・実現したいこと

PHPで入力した文字をmysqlに挿入したい為、
SQLインジェクション対策に mysqli_real_escape_string を使い
エスケープしようと考えています。
※サーバーはサクラのレンタルサーバーを使用します。

発生している問題・エラーメッセージ

レンタルサーバーを使い操作したところ
どうやらmysqli_real_escape_stringが原因で文字化けして
挿入されてしまう。

しかし、XAMPP上では文字化けしない。。

勉強不足で申し訳ありませんが「文字化けを回避する方法」
をご教授の程お願いいたします。

入力したい文字

例) 田中さん

挿入される文字

例) \田中\さ\ん

該当のソースコード

<?php

print'<!DOCTYPE html>';
print'<html>';
print'<head>';
print'<Content-Type: text/html; charset=UTF-8>';

print'</head>';
print'<body>';


$name='田中さん';
$number='1';


$link = mysqli_connect('xxx.sakura.ne.jp', 'yyy', 'zzz');

$name    =isset($name) ? mysqli_real_escape_string($link, $name) : "";

$dsn='mysql:dbname=yyy;host=xxx.sakura.ne.jp';
$user='yyy';
$password='zzz';
$dbh=new PDO($dsn,$user,$password);
$dbh->query('SET NAMES utf8');

$sql="UPDATE database SET name=? WHERE number=?";
$stmt=$dbh->prepare($sql);
$data[0]=$name;

$stmt->execute($data);
$dbh=null;




$link = mysqli_connect('xxx.sakura.ne.jp', 'yyy', 'zzz');

$name    =isset($name) ? mysqli_real_escape_string($link, $name) : "";

$dsn='mysql:dbname=yyy;host=xxx.sakura.ne.jp';
$user='yyy';
$password='zzz';
$dbh=new PDO($dsn,$user,$password);
$dbh->query('SET NAMES utf8');

$sql="SELECT name FROM database WHERE number=?";
$stmt=$dbh->prepare($sql);
$data2[0]=$number;

$stmt->execute($data2);
$dbh=null;

$rec=$stmt->fetch(PDO::FETCH_ASSOC);

$name_in=htmlspecialchars($rec['name']);

print$name_in;

print'</body>';
print'</html>';

?>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • w_nagai

    2017/01/30 00:41

    dbの show variables like "chara%"; はどんな感じですか?

    キャンセル

  • s8_chu

    2017/01/30 02:26

    mysqli関数とPDOが混在しているような気がするのですが、それは今回問題ではないのでしょうか。

    キャンセル

  • ferarritesta

    2017/01/30 02:36

    show variables like "chara%"; は ”character_set_client = utf8” ”character_set_connection = utf8” ”character_set_database = utf8” ”character_set_filesystem = binary” ”character_set_results = utf8” ”character_set_server = ujis” ”character_set_system = utf8” ”character_sets_dir = /usr/local/share/mysql/charsets/ ” になっております。

    キャンセル

  • m6u

    2017/01/30 14:41

    phpinfo()の、mbstring設定を示すのが先じゃないかな。

    キャンセル

回答 3

checkベストアンサー

+4

そもそも、SQLインジェクション対策は、
案1:プレースホルダを使って、SQLへの変数の埋め込みはライブラリに任せる
案2:mysql_real_escape_stringを使って、変数をエスケープして、プレースホルダを使わず、自分でSQL文字列を組み立てる
の選択(案1推奨)なので、
プレースホルダを使った変数埋め込み時にmysql_real_escape_stringを呼ぶのは間違いです。mysql_real_escape_stringでエスケープされた文字列がそのまま文字通り使われます。

それにしても「田中さん」がエスケープされるのは解せませんが。どんな文字コード設定ならそうなってしまうんでしょうね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/30 10:32

    ああ、mysql_real_escape_stringで化けたんじゃなくて、文字コード指定の不一致で化けたんですね。
    いずれにせよmysql_real_escape_stringは間違いです。

    キャンセル

  • 2017/01/30 14:37

    しかし、文字コードの不一致で化けてたとすると、mysql_real_escape_string を追加する前から化けていたはずですが、そういうことだったんでしょうか?

    キャンセル

+3

SET NAMESで文字コードを指定すると、「MySQL側の文字エンコード」と、「PDOで想定している文字エンコード」がずれてしまうので、正しくエスケープされなくなります。

PDOを開くDSNの中で、文字コードを指定して下さい(PHPマニュアル)。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

character_set_client = utf8
character_set_server = ujis

と文字コードが違うため文字化けが発生していると考えられます。

character_set_serverを utf8 にするなど統一すれば化けないと思いますよ。

MySQLの文字コード自動変換とDBD::mysql - 刺身☆ブーメランのはてなダイアリー

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • PHP

    21351questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    6180questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。