回答編集履歴

2か月前の回答に低評価するのは相当何かあると思いますが、技術的観点でご指摘ください。

2019/06/04 07:19

投稿

m.ts10806

スコア80850

test CHANGED Viewed

File without changes

修正

2019/06/04 07:19

投稿

m.ts10806

スコア80850

test CHANGED Viewed

File without changes

修正

2019/04/12 08:21

投稿

m.ts10806

スコア80850

test CHANGED Viewed

@@ -5,8 +5,6 @@
 プリペアドステートメントをキーで設置する場合にクォーテーションは不要
 - [PDOStatement::bindValue](https://www.php.net/manual/ja/pdostatement.bindvalue.php)
-こんなSQLになります：update shop set yesno = ''aa'', comment = ''aaa'' where id='1'
@@ -22,7 +20,25 @@
+`$yesno = htmlspecialchars($_SESSION['yesno'], ENT_QUOTES, 'UTF-8');
+$comment = htmlspecialchars($_SESSION['comment'], ENT_QUOTES, 'UTF-8');`
+htmlspecialchars() したものをDB登録に使ったらダメ、絶対。
+実際に出力の時にも使ってたらhtmlspecialchars(htmlspecialchars())と二重にすることになる。
+入力情報は原則全てそのまま受け入れること。（入力チェックで弾くのは当然のこと入力チェックOKの値を加工することになるので）
+- [「何故htmlspecialcharsを通すのか？」を一言でどうぞ](https://qiita.com/mpyw/items/19e6fed835ccdbcb0d6d)
+> SQL文にユーザ入力を埋め込む際にhtmlspecialcharsを用いるのは不適切である。求められる変換は text/plain から text/html ではなく、text/plain から application/sql(における文字列リテラル) だ。この処理はプリペアドステートメントとそれに付随するプレースホルダが役割として担うものである。
+と、いうことで、
+そもそもこんなSQLになって`update shop set yesno = ''aa'', comment = ''aaa'' where id='1'`
 SQLのエラーでるはずだが拾う仕組みになっていない。

修正

2019/04/12 08:10

投稿

m.ts10806

スコア80850

test CHANGED Viewed

@@ -5,6 +5,12 @@
 プリペアドステートメントをキーで設置する場合にクォーテーションは不要
 - [PDOStatement::bindValue](https://www.php.net/manual/ja/pdostatement.bindvalue.php)
+こんなSQLになります：update shop set yesno = ''aa'', comment = ''aaa'' where id='1'
+idが直に入れられているのでこれも本来はプリペアドステートメントで値を設置すべき。
@@ -20,7 +26,9 @@
 SQLのエラーでるはずだが拾う仕組みになっていない。
-「エラーがでない」じゃなくて「エラーを拾う」作りにすること
+**「エラーがでない」**じゃなくて**「エラーを拾う」**作りにすること
+SQLはPHPからすると外部の仕組み。勝手にエラーは出してくれない。