PHPでの投稿が上手くいきません

###前提・実現したいこと／発生している問題・エラーメッセージ
以下のソースコードで、postされた$title、$contentsをMySQLに送信し保存したいのですが、上手くいきません。どこがおかしいのか、ご指摘いただけないでしょうか。画像の送信は上手くいっているようなのですが。

###該当のソースコード

<?php
  $error = $title = $content = '';
  if (@$_POST['submit']) {
  $title = htmlspecialchars($_POST['title']);
  $content = $_POST['content'];
  $contents = str_replace("\r\n", "<br>", $contents);
  $contents = str_replace("\r\n\r\n", "</p><p>", $contents);
    if (!$title) $error .= 'タイトルがありません。<br>';
    if (!$content) $error .= '本文がありません。<br>';
    if (!$error) {
      if (is_uploaded_file($_FILES["upfile"]["tmp_name"])) {
        $fileName = date( "Y年m月d日H時i分s秒" );
        move_uploaded_file($_FILES["upfile"]["tmp_name"], "Image/$fileName.png");
        unset($_FILES["upfile"]["tmp_name"]);
        echo $fileName.".pngをアップロードしました。";
      }
    $pdo = new PDO("mysql:(伏)", "(伏)", "(伏)");
    $st = $pdo->query("INSERT INTO post(title,eyecatch,content) VALUES('$title','$fileName','$content')");
    exit();
    }
    }
    echo <<< EOF
  <form method="post" action="ActivityReportTransmission.php" enctype="multipart/form-data">
    <h2>記事投稿</h2>
    題名
    <input type="text" name="title" size="40" value="{$title}">
    アイキャッチ<input type="file" name="upfile" id="upfile">
    <p>本文</p>
    <textarea name="content" rows="8" cols="40">{$content}</textarea>
    <input name="submit" type="submit" value="投稿">
    {$error}
</form>
EOF;
?>

行動規範の内容に同意します

回答2件

ベストアンサー

@ エラー抑止演算子を利用するのは NG 望ましくありません。利用しなくても問題のないコードを書くことができます。
htmlspecialchars を利用してはいけないところで利用しています。
SQLインジェクションの脆弱性があります。
XSS脆弱性があります。
HTML構造が正しくありません。
DBにHTMLを格納すると、後々面倒なことになります。

#修正コードサンプル

php
1<?php
2// エラーを強制的に表示する。
3// 開発中は必ず記述すべき。
4// エラーメッセージなしに、デバッグなんてできません。
5ini_set('display_errors', true);
6error_reporting(E_ALL);
7
8function h($string)
9{
10	return htmlspecialchars($string, ENT_QUOTES, 'utf-8');
11}
12
13try {
14
15	// 投稿 を押したとき
16	if ('POST' === filter_input(INPUT_SERVER, 'REQUEST_METHOD')) {
17
18		$title = filter_input(INPUT_POST, 'title');
19		$content = filter_input(INPUT_POST, 'content');
20		$upfile = $_FILES["upfile"];
21
22		// エラーを格納する配列
23		$err = [];
24
25		// タイトル入力チェック
26		if ('' === $title) {
27			$err[] = 'タイトルがありません。';
28		}
29
30		// 内容入力チェック
31		if ('' === $content) {
32			$err[] = '本文がありません。';
33		}
34
35		// ファイルアップロード失敗
36		if ($upfile['error'] > 0) {
37			$err[] = '画像をアップロードしてください。';
38		}
39
40		// エラーがないとき
41		if (count($err) === 0) {
42
43			$fileName = sha1($upfile["tmp_name"]);
44			move_uploaded_file($upfile["tmp_name"], "Image/$fileName.png");
45
46			$dsn = 'mysql:host=localhost;dbname=sample;charset=utf-8';
47			$username = '';
48			$password = '';
49
50			// DBエラーを例外でスローする設定（必須）
51			$options = [
52				PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
53			];
54			$pdo = new PDO($dsn, $username, $password, $options);
55
56			$sql = 'INSERT INTO `post` (title, eyecatch, content) VALUES (?, ?, ?)';
57			$stmt = $pdo->prepare($sql);
58			$params = [
59				$title
60				, $fileName
61				, $content
62			];
63			$stmt->execute($params);
64		}
65	}
66} catch (Exception $ex) {
67	$err[] = $ex->getMessage();
68}
69?>
70<!DOCTYPE HTML>
71<html lang="ja">
72	<head>
73		<meta charset="UTF-8">
74		<title></title>
75	</head>
76	<body>
77		<div>
78			<h2>記事投稿</h2>
79
80			<form method="post" action="ActivityReportTransmission.php" enctype="multipart/form-data">
81
82				<label for="title">題名</label>
83				<input type="text" name="title" id="title" size="40" value="<?= h($title); ?>">
84
85				<label for="upfile">アイキャッチ</label>
86				<input type="file" name="upfile" id="upfile">
87
88				<label for="content">本文</label>
89				<textarea name="content" id="content" rows="8" cols="40"><?= h($content); ?></textarea>
90
91				<input name="submit" type="submit" value="投稿">
92
93				<?php foreach ($err as $e): ?>
94					<p><?= h($e); ?></p>
95				<?php endforeach; ?>
96			</form>
97		</div>
98	</body>
99</html>