Q&A
dbの show variables like "chara%"; はどんな感じですか?
###前提・実現したいこと
PHPで入力した文字をmysqlに挿入したい為、
SQLインジェクション対策に mysqli_real_escape_string を使い
エスケープしようと考えています。
※サーバーはサクラのレンタルサーバーを使用します。
###発生している問題・エラーメッセージ
レンタルサーバーを使い操作したところ
どうやらmysqli_real_escape_stringが原因で文字化けして
挿入されてしまう。
しかし、XAMPP上では文字化けしない。。
勉強不足で申し訳ありませんが「文字化けを回避する方法」
をご教授の程お願いいたします。
###入力したい文字
例) 田中さん
###挿入される文字
例) \田中\さ\ん
###該当のソースコード
<?php print'<!DOCTYPE html>'; print'<html>'; print'<head>'; print'<Content-Type: text/html; charset=UTF-8>'; print'</head>'; print'<body>'; $name='田中さん'; $number='1'; $link = mysqli_connect('xxx.sakura.ne.jp', 'yyy', 'zzz'); $name =isset($name) ? mysqli_real_escape_string($link, $name) : ""; $dsn='mysql:dbname=yyy;host=xxx.sakura.ne.jp'; $user='yyy'; $password='zzz'; $dbh=new PDO($dsn,$user,$password); $dbh->query('SET NAMES utf8'); $sql="UPDATE database SET name=? WHERE number=?"; $stmt=$dbh->prepare($sql); $data[0]=$name; $stmt->execute($data); $dbh=null; $link = mysqli_connect('xxx.sakura.ne.jp', 'yyy', 'zzz'); $name =isset($name) ? mysqli_real_escape_string($link, $name) : ""; $dsn='mysql:dbname=yyy;host=xxx.sakura.ne.jp'; $user='yyy'; $password='zzz'; $dbh=new PDO($dsn,$user,$password); $dbh->query('SET NAMES utf8'); $sql="SELECT name FROM database WHERE number=?"; $stmt=$dbh->prepare($sql); $data2[0]=$number; $stmt->execute($data2); $dbh=null; $rec=$stmt->fetch(PDO::FETCH_ASSOC); $name_in=htmlspecialchars($rec['name']); print$name_in; print'</body>'; print'</html>'; ?>
mysqli関数とPDOが混在しているような気がするのですが、それは今回問題ではないのでしょうか。
show variables like "chara%"; は ”character_set_client = utf8” ”character_set_connection = utf8” ”character_set_database = utf8” ”character_set_filesystem = binary” ”character_set_results = utf8” ”character_set_server = ujis” ”character_set_system = utf8” ”character_sets_dir = /usr/local/share/mysql/charsets/ ” になっております。
phpinfo()の、mbstring設定を示すのが先じゃないかな。
回答3件
0
ベストアンサー
そもそも、SQLインジェクション対策は、
案1:プレースホルダを使って、SQLへの変数の埋め込みはライブラリに任せる
案2:mysql_real_escape_stringを使って、変数をエスケープして、プレースホルダを使わず、自分でSQL文字列を組み立てる
の選択(案1推奨)なので、
プレースホルダを使った変数埋め込み時にmysql_real_escape_stringを呼ぶのは間違いです。mysql_real_escape_stringでエスケープされた文字列がそのまま文字通り使われます。
それにしても「田中さん」がエスケープされるのは解せませんが。どんな文字コード設定ならそうなってしまうんでしょうね。
投稿2017/01/30 01:24
総合スコア84533
0
SET NAMESで文字コードを指定すると、「MySQL側の文字エンコード」と、「PDOで想定している文字エンコード」がずれてしまうので、正しくエスケープされなくなります。
PDOを開くDSNの中で、文字コードを指定して下さい(PHPマニュアル)。
投稿2017/01/30 00:42
総合スコア145183
0
character_set_client = utf8
character_set_server = ujis
と文字コードが違うため文字化けが発生していると考えられます。
character_set_serverを utf8 にするなど統一すれば化けないと思いますよ。
投稿2017/01/30 01:14
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
