Q&A
エラーメセージに書かれていることを読みましたか?また理解していますか?
気づけばプロ並みPHP
という書籍で勉強しているのですが
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[HY000] [1045] Access denied for user ''@'localhost' (using password: YES)' in C:\xampp\htdocs\shop_lessons\staff_add_done.php:19 Stack trace: #0 C:\xampp\htdocs\shop_lessons\staff_add_done.php(19): PDO->__construct('mysql:dbname=sh...', '', 'marimo') #1 {main} thrown in C:\xampp\htdocs\shop_lessons\staff_add_done.php on line 19
のようなエラーが出ます
環境はAtomとXamppです
何回読み直しても書籍通りになっています
PHP
1<!DOCTYPE html> 2<html> 3 <head> 4 <meta charset="utf-8"> 5 <title>ろくまる農園</title> 6 </head> 7 <body> 8 <?php 9 // try{ 10 $staff_name = $_POST['name']; 11 $staff_pass = $_POST['pass']; 12 13 $staff_name = htmlspecialchars($staff_name); 14 $staff_pass = htmlspecialchars($staff_pass); 15 16 $dsn = 'mysql:dbname=shop;host=localhost'; 17 $user = ''; 18 $password = ''; 19 $dbh = new PDO($dsn, $user, $password); 20 $dbh->query('SET NAMES utf8'); 21 22 $sql = 'INSERT INTO mst_staff(name,password) VALUES (?,?)'; 23 $stmt = $dbh->prepare($sql); 24 $data[] = $staff_name; 25 $data[] = $staff_pass; 26 $stmt->execute($data); 27 28 $dbh = null; 29 30 echo "「{$staff_name}」さんを追加しました<br />"; 31 // } catch (Exception $e) { 32 // echo "エラー"; 33 // exit(); 34 // } 35 36 ?> 37 <a href="staff_list.php">戻る</a> 38 </body> 39</html> 40 41```どこが間違えていますか?
アクセスを拒否されたということですよね?19行目がおかしいといわれているのですがどこがおかしいのかわかりません
mysqlの設定をちゃんと行っていまいものと思われます。ソースの問題以前に。
書籍の通りなら「$user='root';」となってるはずですが
回答2件
0
エラーメッセージでアクセス権が無いと怒られてますにゃ。
ソースをみるとPDOコンストラクタに渡すユーザー名とパスワードのところが空になってます:
PHP
1$dsn = 'mysql:dbname=shop;host=localhost'; 2$user = ''; 3$password = ''; 4$dbh = new PDO($dsn, $user, $password);
データベース作ったときにユーザを設定しているなら
ここに入れてみてくださいにゃ。
公式のマニュアルの例:
PHP
1$dsn = 'mysql:dbname=testdb;host=127.0.0.1'; 2$user = 'dbuser'; 3$password = 'dbpass'; 4 5try { 6 $dbh = new PDO($dsn, $user, $password); 7} catch (PDOException $e) { 8 echo 'Connection failed: ' . $e->getMessage(); 9}
投稿2017/02/20 11:54
総合スコア132
0
htmlspecialchars関数はHTMLに出力するための関数です。
入力されたデータに対してhtmlspecialchars関数を使ってSQL文に突っ込むことはSQLインジェクションの原因となります。
また、$_POST変数はフォームから入力された以外からではUndefined index というエラーが発生してしまいます。
正しくは$_SERVER['REQUEST_METHOD']でPOSTか、GETかを判断しないといけません。
従って、正しいプログラムは以下のようになります。
php
1<?php 2 3// 入力された方法がGETかPOSTかで判断 4if ($_SERVER['REQUEST_METHOD'] === 'POST') { 5 6 // 入力されたデータを filter_input関数を使って受け取る 7 $staff_name = (string)filter_input(INPUT_POST, 'name'); 8 $staff_pass = (string)filter_input(INPUT_POST,'pass'); 9 10 // MySQLへ接続、できなかった場合は終了 11 try { 12 $dbh = new PDO('mysql:host=localhost:dbname=shop;charset=utf8','root', '',[ 13 PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, 14 ]); 15 } catch(PDOException $e){ 16 // データベースに接続できなかったら終了 17 echo $e->getMessage(); 18 exit; 19 } 20 21 // MySQLにデータを挿入する 22 $sql = "INSERT into mst_staff (name, password) VALUES (:name, :password)"; 23 $stmt = $dbh->prepare($sql); 24 $params = array( 25 ':name' => $staff_name, 26 ':password' => password_hash($staff_pass, PASSWORD_DEFAULT) // パスワードはハッシュ化しておく 27 ); 28 $stmt->execute($params); 29} 30?>
投稿2017/09/30 04:06
総合スコア178
> 入力されたデータに対してhtmlspecialchars関数を使ってSQL文に突っ込むことはSQLインジェクションの原因となります。
これはどういう意味でしょうか?
私の感覚だと、今回のケースでは、prepare を使っているので関係ない気がします。
また、htmlspecialchars の使用箇所が適切でないのは確かですが、その理由は、「DB との値比較に使用される文字列が、htmlspecialchars で変化してしまう」ことであって、「SQLインジェクションの原因となる」からではないと思います。
[PHPでデータベースに接続するときのまとめ - Qiita](https://qiita.com/mpyw/items/b00b72c5c95aac573b71)
にある「データベースに挿入する前にhtmlspecialchars関数を適用している間違った例」のコードをみてください。
リンク先の該当箇所を確認しましたが、「SQLインジェクションの原因となる」といった記述は確認できません。もう少し具体的に記述のある箇所を教えていただけますか?
あなたの回答
tips
プレビュー
