[PHP-users 16820]Re: PostgreSQLに接続できるが入力できない

Osamu Shigematsu m5issige @ mr.hitachi-medical.co.jp
2003年 7月 18日 (金) 12:04:57 JST


重松です。こんにちは。

>  文字列とPHP変数を完全に分離した方がよろしいかと思います。
> 
> $sql = "INSERT INTO agu (name, kana) VALUES (" . $_GET['name'] . "," . $_GET['kana'] . ")";

あとは、ややこしい場合、いったん変数に代入するとか。

$name = $_GET['name'];
$kana = $_GET['kana'];
$sql = "INSERT INTO agu (name, kana) VALUES ($name, $kana)";

まあ、上記は、SQL 文的に間違いだから、当然ダメダメでしょうが。
# name ってよもや数値じゃないと思われるので '' でくくる必要あるでしょう?

というか、それ以前に、GET/POST で渡されたものは、正当性を確認したり、
特殊な文字を適切にエスケープしたり、そういう処理も必要になるので、
いずれにしても、いったん何らかの変数に入れるほうが楽と思います。

-- 
Osamu Shigematsu <m5issige @ mr.hitachi-medical.co.jp>



PHP-users メーリングリストの案内