ネットオウル Q&A掲示板

■ トップ > カテゴリ一覧 > フリー／フリー容量増加／フリー PHP+MySQLプラン > テーブルにデータを追加できない

質問

フリー PHP+MySQL
テーブルにデータを追加できない
本文：
当方初心者です。
　テーブルにデータを直接コードでは追加できますが、フォームからのデータではなぜか追加できません。今現在はエラーにもなっていません。追加部分のコードは
try {
$dbh = new PDO($dsn, $username, $password);

// 接続を使用する
//$sql = "INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
// ($_POST["meiboid"],$_POST["simei"],$_POST["ikajyusyo"],$_POST["todouhukencode"])";
$Meiboid = $_POST["meiboid"];
$Simei = $_POST["simei"];
$Ikajyusyo = $_POST["ikajyusyo"];
$Todouhukencode = $_POST["todouhukencode"];
$sql = "INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)$Meiboid, (string)$Simei, (string)$Ikajyusyo, (int)$Todouhukencode)";

//print $_POST["meiboid"] . $_POST["simei"] . $_POST["ikajyusyo"] . $_POST["todouhukencode"] . "<BR>";
//print $Meiboid . $Simei . $Ikajyusyo . $Todouhukencode . "<BR>";

$stmt= $dbh->query( $sql);

$sql = 'select id, namae, jyusyo from meibo';
$stmt= $dbh->query( $sql);

echo "<table>\n";
データベースの接続と表形式のprintは省略してます。アイテムをキャストして見ても関係ないようですし、どうしたら良いか分からなくなりましたので、アドバイスをお願いいたします。
緊急度：通常投稿者：isampmさん投稿時間：2020/06/13 10:19

質問に対する回答は締め切られました

回答 No.10368

この回答がベストアンサーです
本文：
たぶん、

$sql = "INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
($Meiboid, \"$Simei\", \"$Ikajyusyo\", $Todouhukencode)";

と書き換えたら動くんじゃないかなぁ。

私の回答は、これで終了。
投稿者：k-tanさん 投稿時間：2020/06/13 13:54

質問者からのコメント

k-tanさん、回答ありがとうございます。
　いろいろ試した結果、文字列のデータが"'"で囲まれていないことが分かりました。先頭と終わりに"'"を付けたら動きました。回答を試してませんが、若しかしたらそういうことかもしれません

回答 No.10365

本文：
echo $sql;

で、組み立てたSQL文を確認しては？

問題ないSQLが生成されてますか？

■
実際に、phpAdminで　上記で生成したSQLを実行してみれば、
エラーの個所もはっきりするかも。

■
たとえば、

insert into meibo(id,namae,jyusyo) VALUES(20,'Yamada','Tokyo')

のようなSQLになると思う。

VALUESのところで、文字列の部分は、’’か””でくくる
投稿者：k-tanさん 投稿時間：2020/06/13 11:23

質問者からのコメント

k-tanさん、回答ありがとうございます。
　echo $sqlで確認はすぐ出来ますので、やって見ようかと思います。phpAdminのSQLでやって見るのもいいかもしれません。今までは一文しかやってませんが、多分ですが、複数でもやれると思うので、変数に値をセットしてやって見るのも良いように思います。変数のタイプというのが無いので、文字列の変数はクオートで囲めないと思うので、キャストしてやって見ても関係ないようです。valuesで整数と文字列指定する方法では出来てます。例で書いてくれたsqlの20の部分はprintでは整数のように見えるとこに$_POSTを代わりに入れれ見たんですが、どうも自分の常識が通じないようです。

回答 No.10367

本文：
要は、

"INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)$Meiboid, (string)$Simei, (string)$Ikajyusyo, (int)$Todouhukencode)" ...①

の部分は、まずPHPの文字列として評価されて、その結果の文字列が、mySQLの式として渡されるということを理解する必要がありますね。

つまり、$Meiboid = 20 , $Simei = "Yamada Taro" , $Ikajyusyo = "霞が関1-1" , $Todouhukencode = "41" のときに、$sql は、

INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)20, (string)Yamada Taro, (string)霞が関1-1, (int)41)

となって、
INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)20, (string)'Yamada Taro', (string)'霞が関1-1', (int)41)
にはならないので、期待したい結果が欲しいのなら、最初の$sql 文は、

"INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)'$Meiboid', (string)'$Simei', (string)'$Ikajyusyo', (int)'$Todouhukencode')"

と書かないといけない。
但し、この場合でも、$Simei などに、"'" のような特殊な文字が含まれる可能性がある場合には(例えば、$Simei = "Peter's Papa" のような場合)、結果の文字列は、

INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
((int)20, (string)'Peter's Papa', (string)'霞が関1-1', (int)41)

となって、SQL文としては正しくなくなってエラーになる。
(いわゆる、SQL injectionが可能な形になって危険)

これを避けるには、$dbh->query でなく、$dbh->perpare と $stmt->execute を使って、

$sql = "INSERT INTO `isamstar2_wp1`.`meibo` (`id`, `namae`, `jyusyo`, `prefcode`) VALUES
(?, ?, ?, ?)";
$stmt=$dbh->prepare( $sql );
$stmt->execute( array( (int)$Meiboid, (string)$Simei, (string)$Ikajyusyo, (int)$Todouhukencode )); ...②

のようにするのが普通。
# ここで、①の(int)や、(string)は、mySQLの型変換なのに対し、②の(int)や、(string)は、PHPの型変換であることに注意。
投稿者：ジョバンニさん 投稿時間：2020/06/13 13:30

質問者からのコメント

1ジョバンニさん、回答ありがとうございます。
　深い内容で、少し理解できませんが、頭の片隅でも入れておきたいと思います。今回の疑問は、文字列が"'"で括ってないことが原因でした。良く分からないで進めてきましたが、"と’の違いはどこに書いてありますか？

回答 No.10369

本文：
つまり、生の文字列として処理させるためには、解釈されないようにクォーテーションでくくらないといけないわけです。
シングルクォーテーションとダブルクォーテーションの2種類ないと、まず、一方の記号を文字列に含めたいときに、くくるクォーテーションがなくて困ります。ほかにも、言語などにもよるものの、色々と理由や作法があると思いますが。

あなたはまず、「エスケープ」という概念を理解すべきなのだろうと思います。
投稿者：ayaguchiさん 投稿時間：2020/06/13 18:19