MySQLに接続されているのにmysql_real_escape_stringがエラー - PHPプロ！Q&A掲示板

1299

0P

MySQLに接続されているのにmysql_real_escape_stringがエラー

質問日時 / 2008年7月11日 12:27 回答数 / 6件

Questioner: hoges Tweet

MySQL：5.1.22-rc
PHP：5.2.5
鯖：XREA　coreserver

$link = mysql_connect('localhost', 'ユーザ', 'パスワード');
if (!$link) {
die('接続できませんでした: ' . mysql_error());
}
echo '接続に成功しました';
mysql_close($link);

で接続に成功していて、SQLのデータも取得しているのに
mysql_real_escape_stringがエラーを出します。。

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'ドメイン名が来ている。。'@'localhost' (using password: NO) in　－－－－－

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in　－－－－

エラー内容にも納得がいきません。。
何故MYSQLのユーザー名ではなく、ドメイン名がくるのでしょう？

この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。

この質問に返信

ツリー一覧

MySQLに接続されているのにmysql_real_escape_stringがエラーhoges

A01kaitaumysql_real_escape_string() をどうやって呼び出して

A01-1hoges返信有難うございます。一応呼び出しは関数群とし

A01-1-1kaitauとりあえず、mysql_real_escape_stringを呼ぶ前にmysq

A01-1-1-1hogesやっぱりそうですよね。＞とりあえず、mysql_real

A01-1-1-1-1kaitau> ＞とりあえず、mysql_real_escape_stringを呼ぶ前に

A01-1-1-1-1-1hogesなるほど。わかりました！＞# そもそもPDO使って

回答一覧

A01
answererkaitau [7月11日 13:03]

mysql_real_escape_string() をどうやって呼び出しているのか不明ですが、
とりあえず呼び出す前の記述が載せられた通りなら、
mysql_real_escape_string() を呼んでいるのがmysql_closeの後になり、
開いている接続が無いので、新たな接続を試みて失敗しているのだと思います。

エラー内容については、php.iniかmy.cnfなどにデフォルトのユーザがそう記述されているために
それを用いて接続を試みているという事では無いでしょうか？

A01-1
replyerhoges [7月11日 13:19] (最終編集：7月11日 13:28)

返信有難うございます。

一応呼び出しは関数群としてコールしてます。

function xsssql( $stg ){
$stg = htmlspecialchars( $stg, ENT_QUOTES );/* XSS対策 */
$stg = nl2br( $stg );/* \r\nを<br />に */
$stg = str_replace( "\r\n", "", $stg);/* 余分な\r\nを退治 */
$stg = mysql_real_escape_string( $stg );/*　SQLインジェくション対策　*/
return $stg;
}
$pageID = xsssql($_GET["pageID"]);

リクエスト値の送受信に関係なく、この関数は読み込まれています。
つまり、$_GET["pageID"]　が　false　であっても通過します。

他の鯖（XREA下位VerでPHPやSQLのVerは同じ）ではエラーは排出されないのですが。。
何故うまくいっていたのでしょう？？
とりあえず、こんな形で回避してみましたが。。

$pageID = (isset($_POST["pageID"]))
? xsssql($_POST["pageID"]) : ( (isset($_GET["pageID"]))
? xsssql($_GET["pageID"]) : false ) ;

あと、mysql.default_user　は　no value でした。

A01-1-1
replyerkaitau [7月11日 19:22] (最終編集：7月11日 19:23)

とりあえず、mysql_real_escape_stringを呼ぶ前にmysql_closeを呼んでたりしますか？
或いは、mysql_connectを呼ぶ前にmysql_real_escape_stringを使おうとしてませんか？
まずはそこの確認が必要かと思います。

少なくともエラー内容を見る限り、接続が無い状態から、
再接続をしようとして失敗している状態なので。

A01-1-1-1
replyerhoges [7月11日 20:04]

やっぱりそうですよね。

＞とりあえず、mysql_real_escape_stringを呼ぶ前にmysql_closeを呼んでたりしますか？
＞或いは、mysql_connectを呼ぶ前にmysql_real_escape_stringを使おうとしてませんか？

これが正しいですよね。
なぜ同じスクリプトで一方がエラーが出ないのかが不思議ですが。。

書き忘れていましたがmysql_connectやmysql_closeは使っていないです。
PDO関数でDBに接続してます。
ちなみに前述の通り、他の鯖ではエラー排出しないです。。

うーん、、

A01-1-1-1-1
replyerkaitau [7月11日 20:19]

> ＞とりあえず、mysql_real_escape_stringを呼ぶ前にmysql_closeを呼んでたりしますか？
> ＞或いは、mysql_connectを呼ぶ前にmysql_real_escape_stringを使おうとしてませんか？

> これが正しいですよね。
> なぜ同じスクリプトで一方がエラーが出ないのかが不思議ですが。。

えーと、間違って伝わってたらすみませんが、その認識は間違ってると思います。
mysql_real_escape_stringは、関数の説明にもある通り、mysqlへの接続が
確立されていることが前提なので、基本的には、mysql_connectを呼んでから
mysql_closeを呼ぶまでの間に使われるのが正しい使い方です。

上記の間以外の場合で呼ばれた場合、PHPはmysql_real_escape_string内部で
独自にmysqlへの接続を試みるので、正しく行っているように見えるサーバは、
ここでのデフォルトの接続が許可されているだけのことでしょう。

# そもそもPDO使ってるならPDOStatementでbindしてしまうなりPDO::quote（試したことないけど）を
使えばいいんじゃないでしょうか

A01-1-1-1-1-1
replyerhoges [7月11日 21:01]

なるほど。わかりました！

＞# そもそもPDO使ってるならPDOStatementでbindしてしまうなりPDO::quote（試したことないけど）を
＞使えばいいんじゃないでしょうか

使っていますｗ
色々とSQLインジェクションを調べてて　mysql_real_escape_string　の有用性？を
調べていたら思わぬエラーに引っかかってしまった感じです。

助かりました。デフォルトの接続が許可されているだけでした。
やっと納得できました。
やっぱりもっと説明を読むべきでした。
有難うございます。

<<質問一覧へ