- ベストアンサー
ユーザー定義関数について
ユーザー定義関数について悩んでます。 ソースファイル <?php $search_key1 = addslashes($_POST['chokusetsu']); $search_key2 = addslashes($_POST['yomi']); $search_key3 = addslashes($_POST['kakusuu']); $search_key4 = addslashes($_POST['busyu']); print $search_key1; //$search1にはきちんと値が入っている require_once("mysql.php");// MySQLへのID・パスワードの取得をするファイルへのアクセス function kensaku($str1,$str2,$str3,$str4){ $GLOBALS["mysql"] = new MySQL; $GLOBALS["sql"] = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; } // 検索条件を変数に代入してDB内を検索 kensaku($search_key1,$search_key2,$search_key3,$search_key4); $mysql->query($sql); ?> なんですが、ユーザー定義関数を用いてDB内部を検索しようとしているのですが、$search_key1,$search_key2,$search_key3,$search_key4の値がうまく関数の中で使われなくて悩んでいます。グローバル関数とやらも自分なりには試しましたが、解決しませんでした。 ようは $search_key1 = addslashes($_POST['chokusetsu']); $search_key2 = addslashes($_POST['yomi']); $search_key3 = addslashes($_POST['kakusuu']); $search_key4 = addslashes($_POST['busyu']); の$search_key1,$search_key2,$search_key3,$search_key4を$str1,$str2,$str3,$str4に各々代入してsql文を発行しようとしてますが、うまくいかないのです。 どなたか、原因がわかる方いらっしゃるでようか??
- ritsurin03
- お礼率33% (14/42)
- PHP
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
確かに構成がちょっと気持ち悪いですねw MySQLってクラスを上手く使った方がいいとは思いますが、 中がどうなっているのかよく分かりません。 addslashesじゃなくて専用のエスケープ処理はその中に入ってないんでしょうか。 <?php //参考に $values = $_POST; $rows = search_kanji($values); print '<table>'; foreach ($rows as $row) { print '<tr><td>' . $row['kunyomi'] . '<td></tr>'; } print '</table>'; funtion search_kanji($values) { $db = new MySQL(); $sql = 'SELECT * FROM ...'; $rs = $db->query($sql); $rows = array(); while ($row = $db->fetch()) { // ? $rows[] = $row; } return $rows; }
その他の回答 (1)
- kasumi_JPN
- ベストアンサー率38% (8/21)
$mysql->query($sql);を print $sql;に置き換えた場合にどう出力されますでしょうか? 個人的には $GLOBALS["mysql"] = new MySQL;が気持ち悪いです
関連するQ&A
- クラスについて
今作っているプログラムのソースが以下のようです <html> <head> <meta http-equiv="Content-type" content="text/html; charset=UTF-8"> <input type="hidden" name="ie" value="UTF-8"> <title>7-4 MySQLクラスでのデータの表示</title> </head> <body> <b>入力された条件 </b> <?php // 検索条件の表示 print "直接入力:"; print $_POST['chokusetsu']; print " 読み:"; print $_POST['yomi']; print " 画数:"; print $_POST['kakusuu']; print " 部首:"; print $_POST['busyu']; print " の検索結果"; $search_key1 = addslashes($_POST['chokusetsu']); $search_key2 = addslashes($_POST['yomi']); $search_key3 = addslashes($_POST['kakusuu']); $search_key4 = addslashes($_POST['busyu']); //print $search_key1; //$search1にはきちんと値が入っている require_once("mysql.php");// MySQLへのID・パスワードの取得をするファイルへのアクセス //require_once("kanjiteigi.php"); //ユーザ定義関数ファイルへのアクセス function kensaku($str1,$str2,$str3,$str4){ $GLOBALS["mysql"] = new MySQL; $GLOBALS["sql"] = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; $GLOBALS["mysql"]->query($GLOBALS["sql"]); } // 検索条件を変数に代入してDB内を検索 kensaku($search_key1,$search_key2,$search_key3,$search_key4); //print $sql; //$mysql->query($sql); ?> //require_once("kanjiteigi.php");このような形でコメントアウトしてますが、本当はkanjiteigi.phpの中に function kensaku($str1,$str2,$str3,$str4){ $GLOBALS["mysql"] = new MySQL; $GLOBALS["sql"] = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; $GLOBALS["mysql"]->query($GLOBALS["sql"]); } と記述している関数をいれて参照してきたいのですが、kanjiteigi.phpにどのような記述をしていいかで悩んでいます。グローバル変数とかもややこしくて… どなたかクラスに詳しい方おられますでしょうか?? ちなみにkanjiteigi.phpの中に <?php class kanjiteigi{ // ●:ユーザ定義関数 // ○ demo1.htmlで入力する検索条件を入力し、その条件で検索するSQL文の発行し、DB内を検索 // ($str0=検索するDBのテーブル名、$str1=漢字、$str2=読み、$str3=画数、$str4=部首) // DB内を検索 var $mysql; var $sql; function kensaku($str1,$str2,$str3,$str4){ $GLOBALS["mysql"] = new MySQL; $GLOBALS["sql"] = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; $GLOBALS["mysql"]->query($GLOBALS["sql"]); } } ?> としてもダメでした
- 締切済み
- PHP
- 検索機能ソースの脆弱性に関して
以前こちらでPHPの検索機能のソースに関して質問させて頂いた者です。そのときに、作成したソースに「SQLインジェクション」の可能性があるとのご指摘を受けたのですが、下記のソースを見ていただいて、どこに脆弱性があるのか、わかる方がおられましたら是非教えていただきたく存じます。 拙い知識ながらも、本等で調べて、$_POST['key']で受け取ったデータを、get_magic_quotes_gpcの設定がOFFの場合は、addslashes関数でエスケープ処理をする設定にしたのですが、フォームの入力値に「str' or '1'='1」のようなSQLインジェクション確認用の文字を入れたり、ソースの検証を自分で行った限りでは、エラーが発見できなかったのですが、どこがまずいのでしょうか? ご教示いただけますよう、宜しくお願いいたします。 検索フォーム <form method="post" action="view.php"> <input type="text" name="key"> <input type="submit" name="search" value="検索"> </form> ログ表示PHP(view.php) $key = "%"; if (isset($_POST['key'])) { $key = (get_magic_quotes_gpc()) ? $_POST['key'] : addslashes($_POST['key']); } $sql = "SELECT * FROM shop WHERE todohuken='XX' "; if(strlen($key) > 0){ $key = str_replace(" ", " ", $key); $array = explode(" ", $key); $and = "AND "; for($i=0; $i<count($array); $i++){ $and .= "address LIKE '%$array[$i]%'"; if($i < count($array)-1){ $and .= " AND "; } } } mysql_select_db($database_connDB, $connDB); $Recordset1 = mysql_query($sql.$and.";", $connDB) or die(mysql_error());
- ベストアンサー
- PHP
- ヒアドキュメントについて
何度も質問してしまっていて大変もうしわけないのですが、今度はヒアドキュメントについてわからなくなってしまいました。 ソースは <html> <head> <meta http-equiv="Content-type" content="text/html; charset=UTF-8"> <input type="hidden" name="ie" value="UTF-8"> <title>7-4 MySQLクラスでのデータの表示</title> </head> <body> <b>入力された条件 </b> <?php // 検索条件の表示 print "直接入力:"; print $_POST['chokusetsu']; print " 読み:"; print $_POST['yomi']; print " 画数:"; print $_POST['kakusuu']; print " 部首:"; print $_POST['busyu']; print " の検索結果"; $search_key1 = addslashes($_POST['chokusetsu']); $search_key2 = addslashes($_POST['yomi']); $search_key3 = addslashes($_POST['kakusuu']); $search_key4 = addslashes($_POST['busyu']); //print $search_key1; //$search1にはきちんと値が入っている require_once("mysql.php");// MySQLへのID・パスワードの取得をするファイルへのアクセス function kensaku($str1,$str2,$str3,$str4){ $mysql = new MySQL; $sql = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; $row=$mysql->query($sql); echo <<<EOT <TABLE width="3000" frame="border" border="3" cellspacing="1" cellpadding="3"> <TBODY> <TR><TH>id</TH><TH>漢字</TH><TH>音読み</TH><TH>訓読み</TH> <TH>特殊読み</TH><TH>ピンイン</TH><TH>部首</TH><TH>画数</TH> <TH>字源</TH><TH>異体字</TH><TH>繁体字</TH><TH>簡体字</TH> <TH>意味</TH><TH>用例</TH><TH>同訓異字</TH><TH>対義語</TH> <TH>品詞</TH><TH>日本語能力検定級</TH><TH>熟語1</TH> <TH>熟語2</TH><TH>熟語3</TH></TR> while ($row = $mysql->fetch()){ <TR> <TD align="center"><?=$row['id']?></TD> <TD align="center"><?=$row['kanji']?></TD> <TD align="center"><?=$row['onyomi']?></TD> <TD align="center"><?=$row['kunyomi']?></TD> <TD align="center"><?=$row['tokusyu']?></TD> <TD align="center"><?=$row['pinin']?></TD> <TD align="center"><?=$row['busyu']?></TD> <TD align="center"><?=$row['kakusuu']?></TD> <TD align="center"><?=$row['jigen']?></TD> <TD align="center"><?=$row['itaiji']?></TD> <TD align="center"><?=$row['hantaiji']?></TD> <TD align="center"><?=$row['kantaiji']?></TD> <TD align="center"><?=$row['imi']?></TD> <TD align="center"><?=$row['yourei']?></TD> <TD align="center"><?=$row['doukun']?></TD> <TD align="center"><?=$row['taigigo']?></TD> <TD align="center"><?=$row['hinshi']?></TD> <TD align="center"><?=$row['nihongo']?></TD> <TD align="center"><?=$row['jyukugo1']?></TD> <TD align="center"><?=$row['jyukugo2']?></TD> <TD align="center"><?=$row['jyukugo3']?></TD></TR> } </TBODY> </TABLE> EOT; } kensaku($search_key1,$search_key2,$search_key3,$search_key4); ?> </body> </html> です。エラーとしてはsyntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRINGが表示されます。エラーの原因がよくわからず、困っています。何か、お気づきの点があれば意見が欲しいです。お願いします。
- ベストアンサー
- PHP
- Dreamweaverで検索フォーム
はじめまして。 DreamWeaverを使ってPHP+MySQLでWEBアプリを作っております。 ログ表示部分まで完成して、検索用のhtmlフォームから条件を指定して検索結果のみをSELECTして表示させたいのですが、「and検索やor検索」ができなくて困っています。 他に似たような質問をされている方もいますが、書いたソースが異なっているように見受けたので、投稿させていただきました。 宜しくお願いします。 検索フォーム <form method="post" action="view.php"> <input type="text" name="key"> <input type="submit" name="search" value="検索"> </form> ログ表示PHP(view.php) //検索キーワードの初期値を設定する $colname_Recordset1 = "%"; if (isset($_POST['key'])) { $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['key'] : addslashes($_POST['key']); } $sql = "SELECT * FROM shoplist"; if(strlen($colname_Recordset1) > 0){ $colname_Recordset2 = str_replace(" ", " ", colname_Recordset1); $array = explode(" ", $colname_Recordset2); $where = "where "; for($i=0; $i<count($array); $i++){ $where .= "address like '%$array[$i]%'"; if($i < count($array)-1){ $where .= " and "; } } } mysql_select_db($database_connTest, $connTest); $Recordset1 = mysql_query($sql.$where, $connTest) or die(mysql_error()); $row_Recordset1 = mysql_fetch_assoc($Recordset1); $totalRows_Recordset1 = mysql_num_rows($Recordset1);
- ベストアンサー
- PHP
- フレームをまたいだ非表示・表示の切り替えについて
現在、フレーム&MySQLを用いたページを作成しています。 ページを左と右の二つにわけてて、 左のソースは <html> <head> <title>単漢字学習</title> <META http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head> <body> <H2>単漢字検索項目</H2> <P><b>検索項目を入力して下さい<P>(複数選択可)</P></b></P> <form name="form1" action="demo2.php" method="post" target="migi"> 漢字直接入力エリア <TEXTAREA name = "chokusetsu" cols="5" rows="2" wrap="off"></TEXTAREA><BR><BR> </TEXTAREA> 漢字読み入力エリア <TEXTAREA name = "yomi"cols="5" rows="2" wrap="off"></TEXTAREA><BR><BR> </TEXTAREA> <P>画数</P> <SELECT name="kakusuu"> <OPTION value="" selected>----画数を選択してください----</OPTION> <OPTION value="1">1画</OPTION> <OPTION value="2">2画</OPTION> 中略 </SELECT><BR><BR> <P>部首</P> <SELECT name="busyu"> <OPTION value="" selected>----部首を選択してください----</OPTION> <OPTION value="一部 いち">一部 いち</OPTION> <OPTION value="│部 ぼう">│部 ぼう</OPTION> 中略 </SELECT><BR><BR><BR> <input type="submit" value="送信"> <input type="reset" value="リセット"> </body> </html> となっていて 右ページのソースは <?php require_once("mysql.php"); ?> <html> <head> <meta http-equiv="Content-type" content="text/html; charset=UTF-8"> <input type="hidden" name="ie" value="UTF-8"> <title>7-4 MySQLクラスでのデータの表示</title> </head> <body> <b>入力された条件 </b> <?php print "直接入力:"; print $_POST['chokusetsu']; print " 読み:"; print $_POST['yomi']; print " 画数:"; print $_POST['kakusuu']; print " 部首:"; print $_POST['busyu']; print " の検索結果"; $search_key1 = addslashes($_POST['chokusetsu']); $search_key2 = addslashes($_POST['yomi']); $search_key3 = addslashes($_POST['kakusuu']); $search_key4 = addslashes($_POST['busyu']); $mysql = new MySQL; $sql = "SELECT * FROM tankanji WHERE (onyomi like '%$search_key2%' OR kunyomi like '%$search_key2%') AND kanji like '%$search_key1%' AND busyu like '%$search_key4%' AND kakusuu like '%$search_key3%'"; $mysql->query($sql); // 検索件数の表示 ?> <TABLE width="3000" frame="border" border="3" cellspacing="1" cellpadding="3"> <TBODY> <TR><TH>id</TH><TH>漢字</TH><TH>音読み</TH><TH>訓読み</TH><TH>部首</TH><TH>画数</TH></TR> <?php while($row = $mysql->fetch()){ ?> <TR> <TD align="center"><?=$row['id']?></TD> <TD align="center"><?=$row['kanji']?></TD> <TD align="center"><?=$row['onyomi']?></TD> <TD align="center"><?=$row['kunyomi']?></TD> <TD nowrap align="center"><?=$row['busyu']?></TD> <TD align="center"><?=$row['kakusuu']?></TD></TR> <?php } ?> </TBODY></TABLE> </body> </html> こんな感じです。 現在では左ページのテキストボックスやプルダウンメニューから操作をしてデータを右ページに送らなくても右ページにはテーブルが出現してしまってます。この現象を左ページからデータ入力があった場合のみテーブルを表示させたいのですが、このようなことはできるのでしょうか? 誰か詳しい方お願いします。
- ベストアンサー
- HTML
- sjisで書いているPHPとeucのMysqlでの不都合
カゴヤインターネットルーティングというレンタルサーバーを借りております。 PHPは携帯のサイトのためどうしてもsjisで書かないといけません。 mysqlはeucです。 ソとか能などよくある文字化けをおこすので addslashes()関数をつかって $str='ソフト'; $com = addslashes($str); としてinsertします。 登録・表示は問題ないのですが、どうしても検索ができません。 $com= 'ソフト'; SELECT * FROM item where item_name like '%$com%' とするとどうしても検索できません。 http://sb.xrea.com/archive/index.php/t-4070.html にも同様のことが書かれていましたが、 $str = mb_convert_encoding($str, "EUC-JP", "SJIS"); のように変換してもうまくいきませんでした。 まことにお手数おかけしますが、ご教授お願いします。
- ベストアンサー
- PHP
- 自作の検索エンジンを作成しました。AND検索 or 検索の方法をご教授いただきたい。
こんにちは。 複数のキーワードの検索が出来ません。 ゲーム 無料 等のキーワードで検索した場合のwhere句とのコラボ組み合わせが出来ません。 $keyword=$_POST[1]; $rs=$DB->$query("SELECT * FROM data WHERE"; if($keyword){ $str = array(" ", " and ", " AND "); $keyword = str_replace($str, " ", $keyword); if(stristr($keyword, " ")){//複数キーワードの検索 $ex = explode(" ", $keyword); $count = count($exkey); for($i=0; $i<$count; $i++){ if($i!="0"){ $sql = $sql." and"; } $sql = $sql." keyword LIKE '%{$ex[$i]}%'"); } }else{//単体キーワードの検索 $sql = " keyword LIKE '%{$keyword}%'"); } } $query = $query.$sql; $result = mysql_query($query); ...結果表示 これ今のソースですけど for のあたりに何か必要ない文字とか入っていますか。 色々しているうちに無駄に複雑にしてしまっているのではと言う感じもします。
- ベストアンサー
- PHP
- ログイン認証で
ログイン認証で <? session_start(); $con=mysql_connect(localhost,***,***); mysql_select_db("***"); $passwd=addslashes($_POST['passwd']); $email=addslashes($_POST['email']); $name=addslashes($_POST['name']); $sql="select * from users where email='{$_POST['email']}' and passwd='{$_POST['passwd']}'"; $_session['name']=$name; $rs=mysql_query($sql); if(mysql_num_rows($rs)>0){ $_session['login']=1; header('location:'. "top.php"); exit; } mysql_close($con); ?> <html> <head> <title> </title> </head> 認証失敗 <br> <a href="login.php"> 戻る</a> <body> と入力したのですが、 emailとpasswdに合ったnameを違うページに表示したいのに、それができないんです・・・ ようこそ<? $_SESSION['name']?> さん<br> どこかおかしなところありますか?
- ベストアンサー
- PHP
- ヒアドキュメントについて
以前質問しましたが、解決できませんでした。 ヒアドキュメント内での多次元配列の扱いで悩んでいます。 ソースは <?php require_once("mysql.php");// MySQLへのID・パスワードの取得をするファイルへのアクセス function kensaku($str1,$str2,$str3,$str4){ $mysql = new MySQL; $sql = "SELECT * FROM tankanji WHERE kanji like '%$str1%' AND (onyomi like '%$str2%' OR kunyomi like '%$str2%') AND kakusuu like '%$str3%' AND busyu like '%$str4%'"; $row=$mysql->query($sql); echo <<<EOM <TABLE width="3000" frame="border" border="3" cellspacing="1" cellpadding="3"> <TBODY> <TR><TH>id</TH><TH>漢字</TH><TH>音読み</TH><TH>訓読み</TH> <TH>画数</TH><TH>部首</TH></TR> while ($row = $mysql->fetch()){ <TR> <TD align="center"><?={$row['id']}?></TD> <TD align="center"><?={$row['kanji']}?></TD> <TD align="center"><?={$row['onyomi']}?></TD> <TD align="center"><?={$row['kunyomi']}?></TD> <TD align="center"><?={$row['kakusuu']}?></TD> <TD align="center"><?={$row['busyu']}?></TD></TR> } </TBODY> </TABLE> EOM; } なんですが、うまくいきません。 $row=$mysql->query($sql); のあとでprint文で$rowの中身を表示させたらきちんと入っているのでecho <<<EOM以降がおかしいものと思います。 エラーの内容としてはsyntax error, unexpected '"', expecting T_STRING or T_VARIABLE or T_NUM_STRINGと表示されてしまいます。これがどうしてもやらないといけないことでしてものすごく困っています。。初心者の質問で大変申し訳ないです。
- ベストアンサー
- PHP
- PHPとMYSQLで検索
PHPとMYSQLで select * from artist WHERE artist LIKE 'aki' AND artist_yomi LIKE 'アキ' とSQL文があり、 ヒットした場合は、 ヒットしました。 ヒットしなかった場合は、 ヒットしませんでした。 と表示させたいです。
- ベストアンサー
- PHP
お礼
すいません。php初心者でして、お恥ずかしい。 なぜかいま解決できました。 ついでに質問なんですが、このソースの下に <TABLE width="3000" frame="border" border="3" cellspacing="1" cellpadding="3"> <TBODY> <TR><TH>id</TH><TH>漢字</TH><TH>音読み</TH><TH>訓読み</TH><TH>特殊読み</TH><TH>ピンイン</TH><TH>部首</TH><TH>画数</TH><TH>字源</TH><TH>異体字</TH> <TH>繁体字</TH><TH>簡体字</TH><TH>意味</TH><TH>用例</TH><TH>同訓異字</TH><TH>対義語</TH><TH>品詞</TH><TH>日本語能力検定級</TH><TH>熟語1</TH> <TH>熟語2</TH><TH>熟語3</TH></TR><?php // DB内で検索した条件に一致したものを変数に代入 while($row = $mysql->fetch()){ ?> <TR> <TD align="center"><?=$row['id']?></TD><TD align="center"><?=$row['kanji']?></TD><TD align="center"><?=$row['onyomi']?></TD><TD align="center"><?=$row['kunyomi']?></TD> <TD align="center"><?=$row['tokusyu']?></TD> <TD align="center"><?=$row['pinin']?></TD> <TD align="center"><?=$row['busyu']?></TD> <TD align="center"><?=$row['kakusuu']?></TD> <TD align="center"><?=$row['jigen']?></TD> <TD align="center"><?=$row['itaiji']?></TD> <TD align="center"><?=$row['hantaiji']?></TD> <TD align="center"><?=$row['kantaiji']?></TD> <TD align="center"><?=$row['imi']?></TD> <TD align="center"><?=$row['yourei']?></TD> <TD align="center"><?=$row['doukun']?></TD> <TD align="center"><?=$row['taigigo']?></TD> <TD align="center"><?=$row['hinshi']?></TD> <TD align="center"><?=$row['nihongo']?></TD> <TD align="center"><?=$row['jyukugo1']?></TD> <TD align="center"><?=$row['jyukugo2']?></TD> <TD align="center"><?=$row['jyukugo3']?></TD></TR> <?php } ?> </TBODY></TABLE> </body> </html> が続いていますが、 このhtml部分というかwhile($row = $mysql->fetch()){も関数にうまく組み込みたいのですがどのように記述したらよろしいのでしょうか? rowの中にいれている文字列はDB内のテーブル内の項目の名称です。