回答編集履歴

見直し

2020/01/29 01:38

投稿

スコア0

test CHANGED Viewed

@@ -18,13 +18,13 @@
 $pdo = connect();
-$stmt2 = $pdo->prepare("UPDATE User3 SET latlng = ST_GeomFromText('POINT(? ?)') WHERE user_name = ?");
+$stmt2 = $pdo->prepare("UPDATE User3 SET latlng = ST_GeomFromText('POINT(:lng :lan)') WHERE user_name = :user");
-$stmt2->bindValue(1, $longitude, PDO::PARAM_INT);
+$stmt2->bindValue(':lng', $longitude, PDO::PARAM_INT);
-$stmt2->bindValue(2, $latitude, PDO::PARAM_INT);
+$stmt2->bindValue(':lan', $latitude, PDO::PARAM_INT);
-$stmt2->bindValue(3, $login_user, PDO::PARAM_STR);
+$stmt2->bindValue(':user', $login_user, PDO::PARAM_STR);
 // SQL実行
@@ -33,3 +33,13 @@
 ```
 こうなんじゃないかなぁ。
+（名前付きプレースホルダーに改めてみました。）
+SQL文に直接POSTやGET由来の変数を展開してしまうと、
+SQLインジェクション攻撃の標的になりかねないため、
+上記のようなプレースホルダーを駆使した書き方を身に着けたいものです。

見直し

2020/01/29 01:38

投稿

スコア0

test CHANGED Viewed

@@ -16,10 +16,6 @@
 ```php
-$geometry = "ST_GeomFromText('POINT(" + (string)$longitude + " " + (string)$latitude + ")')";
 $pdo = connect();
 $stmt2 = $pdo->prepare("UPDATE User3 SET latlng = ST_GeomFromText('POINT(? ?)') WHERE user_name = ?");

見直し

2020/01/28 09:11

投稿

スコア0

test CHANGED Viewed

@@ -5,3 +5,35 @@
 ```
 って話だったりしない？
+---
+もしかすると
+```php
+$geometry = "ST_GeomFromText('POINT(" + (string)$longitude + " " + (string)$latitude + ")')";
+$pdo = connect();
+$stmt2 = $pdo->prepare("UPDATE User3 SET latlng = ST_GeomFromText('POINT(? ?)') WHERE user_name = ?");
+$stmt2->bindValue(1, $longitude, PDO::PARAM_INT);
+$stmt2->bindValue(2, $latitude, PDO::PARAM_INT);
+$stmt2->bindValue(3, $login_user, PDO::PARAM_STR);
+// SQL実行
+$stmt2->execute();
+```
+こうなんじゃないかなぁ。