質問編集履歴

2

$_GET['id']のh関数を無くしました。 また、detail.phpにSQLインジェクション対策を行いました。

2020/11/08 11:37

投稿

nanapon
nanapon

スコア8

test CHANGED
File without changes
test CHANGED
@@ -176,7 +176,7 @@
176
176
 
177
177
 
178
178
 
179
- $id = h($_GET['id']);
179
+ $id = $_GET['id'];
180
180
 
181
181
 
182
182
 
@@ -186,9 +186,9 @@
186
186
 
187
187
  $pdo = new PDO(DSN, DB_USER, DB_PASS);
188
188
 
189
- $sql = "SELECT * FROM todo_add WHERE id = " . $id;
189
+ $todo = $pdo->prepare("SELECT * FROM todo_add WHERE id = :id");
190
-
190
+
191
- $todo = $pdo->prepare($sql);
191
+ $todo->bindParam(":id", $id);
192
192
 
193
193
  $todo->execute();
194
194
 

1

$idに、FILTER_SANITIZE_SPECIAL_CHARSを使用するのを止め、$id = h($_GET['id']);に変更しました。

2020/11/08 11:37

投稿

nanapon
nanapon

スコア8

test CHANGED
File without changes
test CHANGED
@@ -176,7 +176,7 @@
176
176
 
177
177
 
178
178
 
179
- $id = filter_input(INPUT_GET, 'id', FILTER_SANITIZE_SPECIAL_CHARS);
179
+ $id = h($_GET['id']);
180
180
 
181
181
 
182
182