質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

質問する

ただいまの
回答率

90.10%

PHPのFatal errorについて

受付中

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 1,652
Furisuke

Furisuke

score 101

気づけばプロ並みPHP
という書籍で勉強しているのですが
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[HY000] [1045] Access denied for user ''@'localhost' (using password: YES)' in C:\xampp\htdocs\shop_lessons\staff_add_done.php:19 Stack trace: #0 C:\xampp\htdocs\shop_lessons\staff_add_done.php(19): PDO->__construct('mysql:dbname=sh...', '', 'marimo') #1 {main} thrown in C:\xampp\htdocs\shop_lessons\staff_add_done.php on line 19
のようなエラーが出ます

環境はAtomとXamppです
何回読み直しても書籍通りになっています 

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>ろくまる農園</title>
  </head>
  <body>
    <?php
    //  try{
        $staff_name = $_POST['name'];
        $staff_pass = $_POST['pass'];

        $staff_name = htmlspecialchars($staff_name);
        $staff_pass = htmlspecialchars($staff_pass);

        $dsn = 'mysql:dbname=shop;host=localhost';
        $user = '';
        $password = '';
        $dbh = new PDO($dsn, $user, $password);
        $dbh->query('SET NAMES utf8');

        $sql = 'INSERT INTO mst_staff(name,password) VALUES (?,?)';
        $stmt = $dbh->prepare($sql);
        $data[] = $staff_name;
        $data[] = $staff_pass;
        $stmt->execute($data);

        $dbh = null;

        echo "「{$staff_name}」さんを追加しました<br />";
    //  } catch (Exception $e) {
      //  echo "エラー";
    //    exit();
    //  }

     ?>
     <a href="staff_list.php">戻る</a>
  </body>
</html>

どこが間違えていますか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

more_vert4 件の質問への追記・修正依頼

質問への追記・修正、ベストアンサー選択の依頼

  • Kosuke_Shibuya

    Kosuke_Shibuya

    2017/02/20 20:41

    エラーメセージに書かれていることを読みましたか?また理解していますか?

    キャンセル

  • Furisuke

    Furisuke

    2017/02/20 20:44

    アクセスを拒否されたということですよね?19行目がおかしいといわれているのですがどこがおかしいのかわかりません

    キャンセル

  • Kosuke_Shibuya

    Kosuke_Shibuya

    2017/02/20 20:46

    mysqlの設定をちゃんと行っていまいものと思われます。ソースの問題以前に。

    キャンセル

  • asahina1979

    asahina1979

    2017/09/24 10:58

    書籍の通りなら「$user='root';」となってるはずですが

    キャンセル

回答 2

link

+3

エラーメッセージでアクセス権が無いと怒られてますにゃ。

ソースをみるとPDOコンストラクタに渡すユーザー名とパスワードのところが空になってます: 

$dsn = 'mysql:dbname=shop;host=localhost';
$user = '';
$password = '';
$dbh = new PDO($dsn, $user, $password);

データベース作ったときにユーザを設定しているなら
ここに入れてみてくださいにゃ。

公式のマニュアルの例: 

$dsn = 'mysql:dbname=testdb;host=127.0.0.1';
$user = 'dbuser';
$password = 'dbpass';

try {
    $dbh = new PDO($dsn, $user, $password);
} catch (PDOException $e) {
    echo 'Connection failed: ' . $e->getMessage();
}

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

link

0

htmlspecialchars関数はHTMLに出力するための関数です。

入力されたデータに対してhtmlspecialchars関数を使ってSQL文に突っ込むことはSQLインジェクションの原因となります。

また、$_POST変数はフォームから入力された以外からではUndefined index というエラーが発生してしまいます。
正しくは$_SERVER['REQUEST_METHOD']でPOSTか、GETかを判断しないといけません。
従って、正しいプログラムは以下のようになります。 

<?php

// 入力された方法がGETかPOSTかで判断
if ($_SERVER['REQUEST_METHOD'] === 'POST') {

    // 入力されたデータを filter_input関数を使って受け取る
    $staff_name = (string)filter_input(INPUT_POST, 'name');
    $staff_pass = (string)filter_input(INPUT_POST,'pass');

    // MySQLへ接続、できなかった場合は終了
    try {
        $dbh = new PDO('mysql:host=localhost:dbname=shop;charset=utf8','root', '',[
           PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        ]);
    } catch(PDOException $e){
        // データベースに接続できなかったら終了
        echo $e->getMessage();
        exit;
    }

    // MySQLにデータを挿入する
    $sql = "INSERT into mst_staff (name, password) VALUES (:name, :password)";
    $stmt = $dbh->prepare($sql);
    $params = array(
        ':name' => $staff_name,
        ':password' => password_hash($staff_pass, PASSWORD_DEFAULT) // パスワードはハッシュ化しておく
    );
    $stmt->execute($params);
}
?>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/30 13:36

    > 入力されたデータに対してhtmlspecialchars関数を使ってSQL文に突っ込むことはSQLインジェクションの原因となります。

    これはどういう意味でしょうか?

    私の感覚だと、今回のケースでは、prepare を使っているので関係ない気がします。
    また、htmlspecialchars の使用箇所が適切でないのは確かですが、その理由は、「DB との値比較に使用される文字列が、htmlspecialchars で変化してしまう」ことであって、「SQLインジェクションの原因となる」からではないと思います。

    キャンセル

  • 2017/10/01 08:57

    [PHPでデータベースに接続するときのまとめ - Qiita](https://qiita.com/mpyw/items/b00b72c5c95aac573b71)
    にある「データベースに挿入する前にhtmlspecialchars関数を適用している間違った例」のコードをみてください。

    キャンセル

  • 2017/10/01 09:43

    リンク先の該当箇所を確認しましたが、「SQLインジェクションの原因となる」といった記述は確認できません。もう少し具体的に記述のある箇所を教えていただけますか?

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.10%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる
質問する

関連した質問

同じタグがついた質問を見る

SNSアカウントでログイン

teratailアカウントでログイン

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る