編集履歴

回答編集履歴

SQL文の見直し

2020/01/20 02:37

投稿

スコア0

answer CHANGED Viewed

@@ -31,9 +31,9 @@
 $mysqli = new mysqli('localhost', 'root', '', '');
 $sql = <<<EOT
-select user_id, user_name, address, pass
+SELECT `user_id`, `user_name`, `address`, `pass`
-from user_data
+FROM `user_data`
-WHERE user_id = ? AND pass = ?
+WHERE `user_id` = ? AND `pass` = ?
 EOT;
 $stmt = $mysqli->prepare($sql);
 $stmt->bind_param('is', $u_id, $pass);  // $userがintのつもり、stringなら'ss'を指定

見直し

2020/01/20 02:37

投稿

スコア0

answer CHANGED Viewed

@@ -26,6 +26,8 @@
 ```php
 $u_id = $_POST["user_id"];
 $pass = $_POST["pass"];
+// このあたりに、$u_id や $pass に不正な文字や不適切な文字が含まれていないかを
+// 検証する処理を置くこと。
 $mysqli = new mysqli('localhost', 'root', '', '');
 $sql = <<<EOT
@@ -36,7 +38,7 @@
 $stmt = $mysqli->prepare($sql);
 $stmt->bind_param('is', $u_id, $pass);  // $userがintのつもり、stringなら'ss'を指定
 $result = $stmt->execute();
-while ($row = $result->fetch_array(MYSQLI_ASSOC)){
+while ($row = $result->fetch_array(MYSQLI_ASSOC)) {
   echo $row['user_id']. '<br />';
   echo $row['user_name']. '<br />';
   echo $row['address']. '<br />';

加筆修正

2020/01/20 02:25

投稿

スコア0

answer CHANGED Viewed

@@ -43,4 +43,10 @@
   echo $row['pass']. '<br />';
 }
 ```
-（あくまで机上、テストしてない。そして変数名とか勝手に直しといた）
+（あくまで机上、テストしてない。そして変数名とか勝手に直しといた）
+あと、DBに格納されている文字列をhtml出力するのに、
+[htmlspecialchars](https://www.php.net/manual/ja/function.htmlspecialchars.php)()を使うことや、
+パスワード文字列を生のままデータベース上に保存したり比較したりするのではなく、
+例えば [password_hash](https://www.php.net/manual/ja/function.password-hash.php)() で加工して保持したものを、
+[password_verify](https://www.php.net/manual/ja/function.password-verify.php)() を使ってフォーム入力値と比較するということはよく見かけます。

見直し

2020/01/20 02:22

投稿

スコア0

answer CHANGED Viewed

@@ -24,19 +24,23 @@
 GROUP BYがおかしいのを直しましょう。
 ```php
+$u_id = $_POST["user_id"];
+$pass = $_POST["pass"];
+$mysqli = new mysqli('localhost', 'root', '', '');
 $sql = <<<EOT
 select user_id, user_name, address, pass
 from user_data
 WHERE user_id = ? AND pass = ?
 EOT;
-$stmt = $new_mysqli->prepare($sql);
+$stmt = $mysqli->prepare($sql);
-$stmt->bind_param('is', $user, $pass);  // $userがintのつもり、stringなら'ss'を指定
+$stmt->bind_param('is', $u_id, $pass);  // $userがintのつもり、stringなら'ss'を指定
 $result = $stmt->execute();
-while($row = $result->fetch_array(MYSQLI_ASSOC)){
+while ($row = $result->fetch_array(MYSQLI_ASSOC)){
   echo $row['user_id']. '<br />';
   echo $row['user_name']. '<br />';
   echo $row['address']. '<br />';
   echo $row['pass']. '<br />';
 }
 ```
-（あくまで机上、テストしてない）
+（あくまで机上、テストしてない。そして変数名とか勝手に直しといた）

加筆修正

2020/01/20 02:19

投稿

スコア0

answer CHANGED Viewed

@@ -21,4 +21,22 @@
 query() を使って fetch_array() する場面でエラーになるのは、
 query() に失敗しているためなので、
-GROUP BYがおかしいのを直しましょう。
+GROUP BYがおかしいのを直しましょう。
+```php
+$sql = <<<EOT
+select user_id, user_name, address, pass
+from user_data
+WHERE user_id = ? AND pass = ?
+EOT;
+$stmt = $new_mysqli->prepare($sql);
+$stmt->bind_param('is', $user, $pass);  // $userがintのつもり、stringなら'ss'を指定
+$result = $stmt->execute();
+while($row = $result->fetch_array(MYSQLI_ASSOC)){
+  echo $row['user_id']. '<br />';
+  echo $row['user_name']. '<br />';
+  echo $row['address']. '<br />';
+  echo $row['pass']. '<br />';
+}
+```
+（あくまで机上、テストしてない）

見直し

2020/01/20 02:09

投稿

スコア0

answer CHANGED Viewed

@@ -17,4 +17,8 @@
 execute()
 bind_result()
 fetch()
-の流れを真似して実装を見直してください。
+の流れを真似して実装を見直してください。
+query() を使って fetch_array() する場面でエラーになるのは、
+query() に失敗しているためなので、
+GROUP BYがおかしいのを直しましょう。