回答編集履歴

修正

2019/05/02 13:20

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -11,6 +11,9 @@
 ポイントだけ調整コード
 （既にアドバイスした内容ですが）
+---
+元
 ```php
 class Price {
@@ -23,7 +26,8 @@
   public $_result = [];
 ```
+---
+元
 ```php
   public function _searchDate() {
@@ -53,6 +57,8 @@
     }
 ```
+---
+元
 ```php
   public function post() {
     try {

修正

2019/05/02 13:20

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -5,4 +5,120 @@
 - 入力値そのままSQLに突っ込むとSQLインジェクションの脆弱性があるので、[bindValue()](https://www.php.net/manual/ja/pdostatement.bindvalue.php)でバインドしてSQLエスケープすること（PHPマニュアル確認してもらえればわかりますが使うメソッドはquery()ではなくなるので注意）
 - fetchだと最初の1件しか取得できないけど、それでいいのでしょうか。[fetchAll](https://www.php.net/manual/ja/pdostatement.fetchall.php)で全部取ってきたほうがいいような
 - データがとれてること確認できてるならそのデータをreturnして呼び先で受け取って出力処理書けばいいだけでは
-- _validateSelect()とか_validateToken()でException投げてるのはいいけど受け取ってもリダイレクトしているだけなので意味ないのでは。それならException投げるのではなくてエラー受け取って画面にエラーメッセージ出力したほうがいいと思う（そこは決めてください。エラー捕捉しているのに使ってないことが問題なので）
+- _validateSelect()とか_validateToken()でException投げてるのはいいけど受け取ってもリダイレクトしているだけなので意味ないのでは。それならException投げるのではなくてエラー受け取って画面にエラーメッセージ出力したほうがいいと思う（そこは決めてください。エラー捕捉しているのに使ってないことが問題なので）
+-----------
+ポイントだけ調整コード
+（既にアドバイスした内容ですが）
+```php
+class Price {
+  private $_db;
+```
+↓
+```php
+class Price {
+  private $_db;
+  public $_result = [];
+```
+```php
+  public function _searchDate() {
+    $date = filter_input(INPUT_POST,'date',FILTER_SANITIZE_NUMBER_INT);
+    $res = $this->_db->prepare('select カラム名 from テーブル名 where カラム名 = :date');
+    $res->bindValue(':date', $date, \PDO::PARAM_STR);
+    $res->execute();
+```
+↓
+※「メソッドはどこからどう呼び出されるか知らない」のが実際の前提なので「前のメソッドでチェックしている前提」は捨ててきちんと丁寧に書くこと。PDOException も同理由。
+```php
+  public function _searchDate() {
+    try {
+      $date = filter_input(INPUT_POST,'date',FILTER_SANITIZE_NUMBER_INT);
+      $where = '';
+      if(!is_null($date)){
+        $where = ' where カラム名 = :date';
+      }
+      $stmt = $this->_db->prepare('select カラム名 from テーブル名'.$where );
+      if(!is_null($date)){
+        $stmt->bindValue(':date', $date, \PDO::PARAM_STR);
+      }
+      $stmt->execute();
+      $this->_result = $stmt->fetchAll();
+    } catch (\PDOException $e){
+      die(var_dump($e));
+    }
+```
+```php
+  public function post() {
+    try {
+      $this->_validateSelect();
+      $this->_validateToken();
+      $this->_searchDate();
+    } catch (\Exception $e) {
+      header('Location: http://' . $_SERVER['HTTP_HOST']);
+    }
+    exit;
+  }
+```
+↓
+exit入れるならheaderの直後であるべき、だけど、元の記述だとせっかく捕捉したExceptionを握りつぶしているので、練習とか学習とか開発途中のものだったらExceptionを全てvar_dump()などで出力しておくべき。
+```php
+  public function post() {
+    try {
+      $this->_validateSelect();
+      $this->_validateToken();
+      $this->_searchDate();
+    } catch (\Exception $e) {
+      die(var_dump($e));
+    }
+  }
+```
+index.php
+```php
+<?php
+require_once(__DIR__ . '/config.php');
+require_once(__DIR__ . '/search.php');
+$search = new \SearchDate\Price();
+if ($_SERVER['REQUEST_METHOD'] === 'POST') {
+    $search->post();
+}
+?>
+<!DOCTYPE html>
+<html lang="ja">
+<head>
+  <meta charset="utf-8">
+  <title>練習サイト</title>
+  <link rel="stylesheet" href="styles.css">
+</head>
+<body>
+  <form action="" method="post">
+    <label> 日付: <input type="date" name="date"></label>
+    <input type="submit" value="検索">
+    <div>サンプル１</div>
+    <div>サンプル２</div>
+    <div>
+<?php
+    foreach($search->_result as $rownum=>$rowdata){
+        echo $rowdata["カラム名"];
+    }
+?>
+    </div>
+  </form>
+</body>
+</html>
+```