php+MySQLでの検索 - PHPプロ!Q&A掲示板
現在簡単な検索フォームを作成しています。
某書籍のコードを手入力して実行したのですが、XAMPPの旧版である1.68では検索機能が動くのですが、最新版である1.72では検索機能が動きません。
超初心者なので、行き詰っております。
以下にコードを記しますので、打開策をご教示ください。宜しくお願いします。
- $pkey = trim($_RESUEST['pkey']);
- $db = mysql_connect('localhost', 'root', 'root');
- $rc = mysql_select_db('myblog');
- $query = "select product, factory, cost from address";
- if($pkey !="")
- $query = $query. "where product like '%$pkey%'";
- $result = mysql_query($query);
- mysql_close();
- <html lang="ja">
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=utf8">
- <title>データベース</title>
- </head>
- <form>
- file name:<input type="text" name="pkey" value=" $pkey "><input type="submit" value="検索">
- </form>
- <P> mysql_num_rows($result) 件あります.</P>
- </html>
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
A02NurseAngel本当にその状態で動いていたのであれば間違いなくregi
A02-2-2NurseAngel>推奨しないということですよね。
register_globals回答一覧
A01
answerershimix [12月8日 17:43] (最終編集:12月8日 17:51)
$_RESUESTというのはtypoでしょうか?
>mysql_close();
とりあえず、この行を削除してみてください。手元のテスト環境では問題ありませんでしたが、かといってこのタイミングでcloseする必要もないでしょう(基本的にどのタイミングでも不要ですし)。
(追記)
xamppのバージョンよりは、phpとMySQLの各々のバージョンを書かれた方がいいと思います。
A01-1
replyerjzx90 [12月9日 12:11]
早速の返信ありがとうございます。
まず、お詫びを...
誤:$pkey = trim($_RESUEST['pkey']);
正:$pkey = trim($_REQUEST['pkey']);
手元に書籍しかない状態で、実際に利用したphpファイルを持ち合わせていなかったため、手入力した際にタイプミスをしていました。
申し訳ありません。
xamppのVerを書いても仕方ないですね・・・
動作するMysqlのVer・・・5.0.67
動作しないMysqlのVer・・5.1.37
でした。
なんとか動作しました。ありがとうございました。
A02
answererNurseAngel [12月8日 21:22] (最終編集:12月8日 21:25)
http://jp.php.net/manual/ja/ini.core.php#ini.register-globals
typoであればおそらくshort_open_tag
http://jp.php.net/manual/ja/ini.core.php#ini.short-open-tag
あるいはその両方。
オンにして動作するようにするべきではなく、オフの状態で動くように修正しましょう。
動くようになったら、そのフォームに
"><script type="text/javascript">alert("JavaScript");</script>"
とか、
%' JOIN address address2 JOIN address address3 JOIN address address4
ON address4.product LIKE '%
とかを入れると楽しいことになると思いますのでどうにかしましょう。
(後者は多分エラーになるので他に存在するテーブル名を入れるといいかも)
どうにかする方法が書いていない本であれば、今すぐ窓から投げ捨てましょう。
A02-1
replyerwin_php [12月9日 01:12]
$pkey = trim($_RESUEST['pkey']);
// ということはここで生のデータが挿入されるということです。
if($pkey !="")10. $query = $query. "where product like '%$pkey%'";
このことについてなにも述べていない書籍なら窓から捨てるに同意見ですね。
私が悪意を持ってあなたのサイトを訪れたなら、DBの中身を消すことも可能かもしれません。
http://php.s3.to/man/function.mysql-real-escape-string.html
A02-1-1
replyerjzx90 [12月9日 15:12]
回答ありがとうございます。
書籍を調べたところ、エスケープに関する記述が別枠でありました。
書籍では、エスケープ処理をしなくても平気という内容でしたが、記述があったので、処理を行いました。
この度はご教示いただきありがとうございました。
。
A02-2
replyerjzx90 [12月9日 12:16]
ご返信ありがとうございました。
的確なアドバイスで非常に助かりました。
動作しないVerのphp.iniでは、(やはり)short_open_tagがオフになっていました。
Onにすることで検索機能を問題なく使うことができました。が・・・
NurseAngelさまがOffで動作するように...と仰るということは、推奨しないということですよね。
書籍にはこの件についての記述は特にないです・・・
正直、今使っている書籍に固着する必要もないと思いました。
書店に行って、もっと視野を広げたいと思います。
register_globals、short_open_tagについて色々と勉強になりました。ありがとうございました。
A02-2-1
replyershimix [12月9日 12:46]
というか、出来ればmethod="post"にして$_POSTで扱いたいし、他の方が指摘されているようにエスケープ処理も(書籍で言及されていないなら)考慮しないとマズイです。とりあえず書籍を探す前に下記をどうぞ。
http://www.phppro.jp/school/security/
A02-2-1-1
replyerjzx90 [12月9日 15:17]
再度返信をいただきありがとうございます。
short_open_tagの意味も明確になりました。。
ただ、私もPOSTを使って値を受け渡したほうがいいのでは??と思っていたところでしたので、他の手法も当ってみます。
この書籍は入門書のようで、稼働を目的としていないのか、セキュリティに関する表記が非常に少なかったので、リンクHP非常に役に立ちました。
ありがとうございます。
A02-2-2
replyerNurseAngel [12月10日 00:21] (最終編集:12月10日 00:21)
register_globalsについてははっきりと「使用してはいけない」ですが、
short_open_tagについては特に非推奨ということはありません。
ただ単に、
・short_open_tag無しで動くページはshort_open_tagオンでもほぼ動く
・short_open_tag前提で動くページはshort_open_tagオフだと動かない
のでshort_open_tag無しで作っておいた方がよい、ということです。
>書籍では、エスケープ処理をしなくても平気という内容でしたが、
今すぐ投げ捨てるんだ!
いや、先に書籍名教えてください。
#なんとなくその本はmagic_quotes_gpc=onのような気がするので、万一そうだったらこれもオフにしましょう
ページのトップへ
kende様のご指摘通り、三項演算子を使用する際には、コードの複雑度などを考慮する必要がありますね。書きやすさと共に可読性も追求したいところですね。