【PHP】下らねぇ質問はここに書き込みやがれ 43

**nobodyさん** · 2007/04/01(日) 04:21:50

まず読め→【PHP マニュアル】http://www.php.net/manual/ja/
PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。
過去スレ、関連スレ、FAQなどは>>2-10辺り

◆前スレ
【PHP】下らねぇ質問はここに書き込みやがれ 41
http://pc11.2ch.net/test/read.cgi/php/1173163186/

◆質問する時の注意
・自分のIDを表示させること。（メール欄に何も記述しないこと。空白も入力しちゃダメ）
・サーバーのOS(Linux、Windows他)、WebサーバーとPHPの種類やバージョン等を明記すること。
・己の行った操作、変更などを詳しく明記すること。
・エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・質問者として、態度をわきまえること。
・事前に公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。

◆質問後の注意
・偽者防止に必ずIDを表示させること。（メール欄に何も記述しない）
・2回目以降は最初に質問した際のレス番号を名前欄に入れること。
・解決しなくても回答をもらった場合はお礼を言うこと。
　（荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。）

◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。

【その他諸注意】
・正規表現・PEAR・テンプレート(Smarty等)・フレームワークは各該当スレへ http://pc10.2ch.net/php/subback.html
・SQLについての質問はデータベース板(PCカテゴリ)の各スレで http://pc10.2ch.net/db/subback.html

**nobodyさん** · 2007/04/09(月) 03:09:37

>>679
Ｏ型・・・

**nobodyさん** · 2007/04/09(月) 03:11:39

ht★tp://77.xmbs.j★p/kid66666/←★は抜いてね！
◎マル秘！総合サイト！　m(__)m《どろろ》m(__)m
超人気！完全決定版です！ホスト掲示板･風俗掲示板お水掲示板･総合掲示板
ブラックOK！必殺金融屋！超激安噂の車屋さん☆
このサイトを知らない者は必ず損します(--;)！！

**nobodyさん** · 2007/04/09(月) 03:40:07

一回きりのミスだったらタイポかも知れんと突っ込まれないだろうが、何回もintって書いてるから突っ込まれるんじゃね？

**nobodyさん** · 2007/04/09(月) 03:47:43

整数型ファイルなのか・・・

**nobodyさん** · 2007/04/09(月) 04:01:04

interface

**nobodyさん** · 2007/04/09(月) 04:20:52

ソートに関して質問です。

$elemA[0]="りんご";
$elemA[1]=0.23;
$elemB[0]="みかん";
$elemB[1]=0.21;
$elemC[0]="ばなな";
$elemC[1]=0.11;
$array[0]=$elemA;
$array[1]=$elemB;
$array[2]=$elemC;

とされた$arrayを各要素の2つ目の要素の数字でソートしたいのです。
関数sort()はこういう使い方を想定して無いみたいなので困っています。
こういう場合どうすればいいのでしょうか？

**nobodyさん** · 2007/04/09(月) 04:26:35

usort

**nobodyさん** · 2007/04/09(月) 04:49:00

.インポ

**nobodyさん** · 2007/04/09(月) 05:24:42

ごめん、色々調べたんだけど全然わからんから質問いいかな？

PHPでSmartyが使いたくてダウンロードして特定のディレクトリにコピーした後、
php.iniのinclude_pathにそのディレクトリへのパスを設定。

んでrequire_once("Smarty.class.php");ってやるとSmarty.class.phpが見つからないって言われる。
見たところパスはちゃんと設定されてて、反映もされてるし、Smarty.class.phpもある。
Apacheはちゃんと再起動したし、なんでエラー？みたいな。

ちなみにSmartyだけじゃなくて他のファイルも同じような状況。
カレントディレクトリとかは普通に読み込めるんだけど、/usr/local/...とかになると無理。
前はApacheもPHPもソースをコンパイルして入れててその時はちゃんと動いてたんだけど、
パッケージに入れ替えてから動かなくなった・・・。

これって何が原因が原因なのかわかる人いる？

**nobodyさん** · 2007/04/09(月) 05:30:23

ごめん、環境書き忘れたorz

環境はFedora6、Apache2.2、PHP5

**nobodyさん** · 2007/04/09(月) 06:32:22

permission deniedじゃなくて？

**nobodyさん** · 2007/04/09(月) 07:21:43

ソフトバンクのページってHTML対応表とかないんだな、糞だ

**nobodyさん** · 2007/04/09(月) 07:55:44

$array = array("ABX"=>"テスト");
のとき
foreach($array as $key=>$value){
　　　echo $key;
}
で、「ABX」を表示できるけど、
echo $array['ABX']がそのままテストと表示されるように
ABXを表示できないの？

**nobodyさん** · 2007/04/09(月) 08:14:03

array_search()で検索するとか、array_flip()で反転させるとか

**nobodyさん** · 2007/04/09(月) 08:18:52

>>693
「テスト」の部分が空白のとき
array_flipなら []=>ABXになるけど
直接echoにできないね

**644** · 2007/04/09(月) 08:34:27

>>644
自己解決しました。
なんとか複数のIPを連続的に国判別する方法が見つかりました。
お騒がせいたしました。

**nobodyさん** · 2007/04/09(月) 09:10:50

>>688
php.iniが本当に機能してるの？

**nobodyさん** · 2007/04/09(月) 10:37:50

>>690
最初パーミッションかと思ったんだけど、エラーにはパーミッションのエラーは出ててなくて、
ただファイルが見つからないっていう表示がでるだけ。

>>696
phpinfo()見る限りでは/etc/php.iniを読みにいってるようになってる。
get_include_path()で設定されてるパスを調べてみたら設定が反映されてるみたいだからちゃんと機能はしてると思う。
ただなぜか読み込めない。

なんだこれ。orz

**nobodyさん** · 2007/04/09(月) 10:41:36

>>697
Smarty って現在バージョンは、インストール直後、スクリプトファイルは、Smarty/libs/*phpにあるので
そこはチェックした？

**nobodyさん** · 2007/04/09(月) 11:07:06

半角の + をGETメソッドで取得する際にどのようにするべきでしょうか？

普通に hoge.php?value=+ とやっても取得できません。やはりエンコードすべきなのでしょうか？

**nobodyさん** · 2007/04/09(月) 11:15:57

>>699
そういう問題ではなくて、そもそも+を値として扱うというのが不正規
RFC2396の2.2.Reserved Charactersを見ましょう。
+は、あなたがやってるuriの?、=と同等の扱いです

**nobodyさん** · 2007/04/09(月) 11:18:43

>>700
ありがとうございます。

具体的に+を値として認識させてGETで取得するにはどのような方法があるのでしょうか？

**nobodyさん** · 2007/04/09(月) 11:20:00

>>700
ありがとうございます。

具体的に+を値として認識させてGETで取得するにはどのような方法があるのでしょうか？

**nobodyさん** · 2007/04/09(月) 11:22:39

わざわざreservedされてるものを、どうしてもっていうのがわからんけど、
・・・どうしてもしたいなら、encodeすればいい。

**nobodyさん** · 2007/04/09(月) 11:27:53

>>700
ありがとうございます。
URIから抜く際、たとえばPathが /hoge/appl/itemの場合スラッシュ（/）の3番目以降の値（item）を取り出すにはどうすればいいのでしょうか？

**nobodyさん** · 2007/04/09(月) 11:31:43

まだ春休みなのか？

**虚弱PHP** · 2007/04/09(月) 11:33:53

>>654
SHA1使ってたけど、SHA512+Saltに変更した。

**nobodyさん** · 2007/04/09(月) 12:11:27

shaは構造が欠陥だから、心配するならtigerにすればいい。
漏れてもいいような情報ならmd5でもいいんじゃないかね。

**nobodyさん** · 2007/04/09(月) 12:21:35

>>698
チェック済みです。
yum install php-smartyでパッケージでいれると
/usr/share/Smatyにインスコされるみたいなんですが、そこにパスを通しても読めないorz

というかSmatyじゃなくてもPEARとかでもなんでもそんなかんじです。

これはもうOSごと最インスコかな、、、

**nobodyさん** · 2007/04/09(月) 12:21:42

おれは独自の暗号化アルゴリズムを作ってる

**nobodyさん** · 2007/04/09(月) 12:35:15

>>708
×Smaty
○Smarty
のタイポと思うが、それはそれとしてOSごと再インスコっていうのはヤケクソみたいだから
やめようぜｗ
とりあえず
ini_set ('include_path','パス名:パス名');
で明示的に指定しても駄目なの？
なんかすごくプリミティブなところで確認ミスしてる気がするぞなんか。

**nobodyさん** · 2007/04/09(月) 12:41:08

やっぱあれだよね。自鯖の開発環境の個別のアプリは、
ソースコンパイルする技能があるなら、とりあえずそれでやるべきだよね。
パッケージインストールは、カーネルとか、そういうのに限るべきだと思う。
問題の切り分けが出来なくなるわｗ

**nobodyさん** · 2007/04/09(月) 12:55:42

ユーザーからの入力文字をhtmlspecialcharsを使わずに独自に無害化するコードを書いてます。
<
>
&
"
'
これらの文字以外に正規表現などで使われるメタ文字も無害化するべきでしょうか？

**nobodyさん** · 2007/04/09(月) 12:56:11

問題が100%発生しなくなるくらい安定すればいいんだけどね

**nobodyさん** · 2007/04/09(月) 12:56:42

>>712
なんのために自作でやってんの？

**nobodyさん** · 2007/04/09(月) 13:05:04

1つのページで
投稿→確認画面→投稿完了
をするときにうまいこと分ける方法ないかな・・・
皆どんな感じでやってる？

値無し＝投稿
$_POSTのみ＝確認画面で$_POSTをセッションに
$_POST+$_SESSION＝投稿完了

これがベストかな？

**nobodyさん** · 2007/04/09(月) 13:10:28

>>714
作法を学習するために独自で作りたいと思ってます。
他の言語にも作法を適用したいためなんですが無駄にやりすぎですかね？

**nobodyさん** · 2007/04/09(月) 13:11:59

>>715
multipart扱う場合は、それじゃ駄目だろうな。$_FILE処理も必要

**nobodyさん** · 2007/04/09(月) 13:16:01

>>715
だめじゃないかな。
ブラウザで投稿画面に戻ったときに既にセッションに値入ってるもん。
それだと、投稿画面に戻る→修正して投稿したときに確認が画面がスルーされて完了しちゃうよ。
formのhidden値で区分けるべき。あと、上に書かれてる$_FILEの扱いも気をつけてね。

**nobodyさん** · 2007/04/09(月) 13:23:34

サーバの監視スクリプトみたいのを作りたいのですが、
IPアドレス：ポート番号で接続を試行して、応答が返ってきたらtrueを返す。
みたいな都合のいい関数ありませんでしょうか？

**nobodyさん** · 2007/04/09(月) 13:31:52

>>719
PHP5ならstream_socket_clientで一発
4ならphp socket ping　あたりでググレ。ping系スクリプトが転がってる。

**nobodyさん** · 2007/04/09(月) 13:48:05

>>720
pingが通らなかったので、pingを使わない方法を探していましたが、
これでいけるようです！どうもありがとうございました。

**nobodyさん** · 2007/04/09(月) 13:51:09

>>716
組み込み関数のほうが遙かに速い。

**nobodyさん** · 2007/04/09(月) 13:53:07

速度じゃなくて勉強のために作ってるんだろ。
>>712
RFCをよみながらエスケープすべき文字を見極めてやればよし。

**nobodyさん** · 2007/04/09(月) 14:10:56

勉強ならC言語とかでやらないと意味が無いだろう。
PHPなんかだと組み込みの高機能な関数が多すぎる。

**nobodyさん** · 2007/04/09(月) 14:11:29

PHPで車輪の再発明するぐらいならCの勉強した方がよさげ

**nobodyさん** · 2007/04/09(月) 14:24:21

>>710
レスサンクスです。
試してみたけどやっぱりダメだた・・・。

状況としてはこれにかなり近い感じ。

[PHP-users 30825] Pear DBでのエラー
http://ml.php.gr.jp/pipermail/php-users/2006-November/031342.html

**nobodyさん** · 2007/04/09(月) 14:33:36

アドバイスありがとうございます。
htmlに出力するときはhtmlspecialcharsで対象となる文字のみ対策しておけばXXS対策になるんでしょうか？

**nobodyさん** · 2007/04/09(月) 14:49:59

>>726
Smarty 以外のファイルはちゃんと読めるのか?

**nobodyさん** · 2007/04/09(月) 14:57:00

>>728
Smarty以外も読めんですorz
ファイルの種類というよりもむしろ、ディレクトリの場所によって読めるか読めないかみたいな感じで、
カレントディレクトリとかドキュメントルート以下(/var/www/html/～～)の中にあるファイルなら普通に読めるんですけど、
/usr/～～とかそれ以外の場所になるとパスが通ってても読めない状況です。

**nobodyさん** · 2007/04/09(月) 14:58:33

>>729
セーフモードでアクセスが制限されている可能性は
確かめた?

**nobodyさん** · 2007/04/09(月) 15:05:50

>>727
クライアントからの入力データだと思うもの全てをhtmlspecialcharsに突っ込んでも安全とは限らない。

本質的にXSSはプログラマがクライアントからの入力全てに気を配らないと起こり得る。
環境変数もどれが任意でどれがそうでないかを全て把握してる人はそういない。
よって、HTML出力を必要としない部分全てをhtmlspecialcharsに突っ込むのが安全。
尤も、タグの属性値なんかに突っ込むならそれでも不十分。そんな設計は見直すべきだが。

**nobodyさん** · 2007/04/09(月) 15:09:03

>>730

セーフモードっていうのがよくわかってないんですが、
php.iniを見てみたら

safe_mode = Off
safe_mode_gid = Off
safe_mode_include_dir =
safe_mode_exec_dir =
safe_mode_allowed_env_vars = PHP_
safe_mode_protected_env_vars = LD_LIBRARY_PATH

みたいになってます。

**nobodyさん** · 2007/04/09(月) 15:20:55

>>729
seLinuxが有効になっている可能性は?

**nobodyさん** · 2007/04/09(月) 15:28:35

>>733
ああああああああああああああ！

# getenforce

Permissive

鬱すぎるorz

**nobodyさん** · 2007/04/09(月) 15:44:55

>>734
うん、で？

**nobodyさん** · 2007/04/09(月) 15:51:53

>>735
seLinuxは無効になってたっぽいです。
もうほんとなにが悪いんだか・・・。

**nobodyさん** · 2007/04/09(月) 16:34:56

お知恵を貸してください。
最近よく私が管理しているWikiにスパムが飛んできて困っているのですが、
$_POST['msg']に入っている本文から英字だけ抜き出す場合どうすればいいのでしょうか。
それを使って英字の文字数によりスパム弾きをしたいと思っているのですが…

**nobodyさん** · 2007/04/09(月) 16:37:16

[a-z]

**nobodyさん** · 2007/04/09(月) 16:39:28

>>738
eregを使うという所までは思いついたものの、
ループ処理で文字を次々ヒットさせる際の処理が思い浮かばず…

**nobodyさん** · 2007/04/09(月) 16:41:23

while(){substr(************************************);
ふぬああああああああああああああああああ
[a-z]
}
うんこ。

**nobodyさん** · 2007/04/09(月) 16:48:59

情報は小出しじゃなく一度に出したほうがいいぞ
答える方も質問してる方も時間の節約になる
エスパーが登場すればこの限りではないが

**nobodyさん** · 2007/04/09(月) 16:54:25

preg_match_all

**nobodyさん** · 2007/04/09(月) 17:03:39

allなんてむだなものもひろうからpreg_matchがいいよ

**nobodyさん** · 2007/04/09(月) 17:13:48

>>736
で、あえて聞くけど

require_once(フルパス);
もエラーになるの？

あるいは
echo file_exsists(フルパス);
はtrue返るの？

**nobodyさん** · 2007/04/09(月) 17:15:02

上のフルパスはフルパス.file名の意味

**nobodyさん** · 2007/04/09(月) 17:16:23

>>740
有難う御座います。
参考にしながらこんなのを組んでみました…

$msg = $_POST['msg'];
$eng_num = 0;
$i = 0;
//コメントスパム対策
while($i<=strlen($msg)) {
$i++;
$num = substr($msg,$i,1);
if (ereg('[a-zA-Z0-9]',$num)) { $eng_num++; }
}
if (strlen($eng_num)>50) { die; }

…が正しく実行されないのは置いといて、
大体こんな感じでいいのでしょうか。

**nobodyさん** · 2007/04/09(月) 17:26:22

ord使いたいな

$msg = $_POST['msg'];
$eng_num = 0;
$i = 0;

while( $char = ord($msg[$i++])) !=0) {
　　if (ereg('[a-zA-Z0-9]',$char)) { $eng_num++;}
if($eng_num > 50 ) {die('invalid post');}
}

**nobodyさん** · 2007/04/09(月) 17:33:34

>>747
それは動かんだろ
$msg配列じゃないし、eregがへん。

**nobodyさん** · 2007/04/09(月) 17:33:38

>>747
有り難う御座います！
バイト後にやってみます。

**nobodyさん** · 2007/04/09(月) 17:34:07

あ、そうだな。なかったことにしてください。

**nobodyさん** · 2007/04/09(月) 17:54:18

>>743
無駄なものってなんですか？

preg_match_all('/\w/',$_POST,$c);
if (count($c[0]) > 50) die();
で問題が出る？

**nobodyさん** · 2007/04/09(月) 20:35:33

セッションって、一度クッキーに置き換えてるのですか？

**nobodyさん** · 2007/04/09(月) 20:43:57

spycとsyckではYAMLのパース結果が違うくないですか？
spycに添付されていたspyc.ymlで比較してみたんだけど、違うようです。

あと、syckは解析できなかった時に、"unknown type"を返しますよね？
なんじゃこりゃ？

**nobodyさん** · 2007/04/09(月) 20:50:38

データベース(MySQL4.1)からデータを抽出したいのですが、
$sqlのなかにフィールド名とテーブル名が入った変数を入れると動きません。
$sqlの中に変数ではなくて、フィールド名とテーブル名を直接書けば正常に動きました。

フィールド名とテーブル名を変数に格納して、$sqlにまぜたいのですが
うまくいきません。

以下、問題となるコードを抜粋しました。

$field_name = "id, name";
$table = "table1";

$sql = "SELECT $field_name FROM $table_name ORDER BY id";
$res = mysql_query($sql,$con) or die("データを抽出できません");

PHP4.4.6とMySQL4.1を使用してます。
どなたかご教授お願いいたします。

**nobodyさん** · 2007/04/09(月) 20:54:03

>>754
変数は''でククれ

**nobodyさん** · 2007/04/09(月) 20:59:38

>>754
$table = "table1";
$sql = "SELECT $field_name FROM $table_name ORDER BY id";

$table_nameなのか$tableなのか

**nobodyさん** · 2007/04/09(月) 21:16:25

printとechoの違いは無し？
タイム計測したらechoの方が二倍近く速かったんだが

**nobodyさん** · 2007/04/09(月) 21:26:31

>>754
変数を"でくくるのはこれで合ってますか？
$sql = "SELECT \"$field_name\" FROM \"$table_name\" ORDER BY id"
試してみましたが動きませんでした。

>>755
すいません、$tableは$table_nameの打ち間違えです。

echo で$sqlを出力したらでてきた内容です。
SELECT id,name, FROM table1 ORDER BY id
変数の中身を直接書くと動くので、SQL文自体には間違いはないと思ってますが
何か勘違いしている部分等ございましたらご指摘ください。

**nobodyさん** · 2007/04/09(月) 21:29:13

以下のようなプログラムを作って
php -f test.php
とコマンドラインから呼び出したのですが何も表示されません。
何故でしょうか？

test.php
<?
print "aaaaaaaaa";
?>

**nobodyさん** · 2007/04/09(月) 21:30:30

>>758
SELECT id,name, FROM
の抽出するフィールドリストの最後にカンマついてちゃだめ
てかmysql_error使え

**nobodyさん** · 2007/04/09(月) 21:53:31

>>757
テンプレ嫁

**nobodyさん** · 2007/04/09(月) 21:54:49

むちゃくちゃ単純なところで数時間はまっている…

------------------------------------------------------
$_POST['name1'] = htmlspecialchars($_POST['name1']); //1回目だけ特殊記号変換

echo $_POST['name1'];
echo $_POST['name2'];

$form = "<form action=\"${_SERVER['PHP_SELF']}\" method=\"POST\">
<input type=text name=name1>
<input type=hidden name=name2 value=\"${_POST['name1']}\">
<input type=submit value=\"go\">
</form>
";

echo $form;
------------------------------------------------------
一度受け取った$_POST の中身をhtmlspecialchars で＆ｇｔ；に変換して
もう一度送っているだけなんだが。

（俺の頭の中では）$_POST['name2']の中身は＆ｇｔ；変換済みになっているわけだが、
二回目を受け取ったら（もう一度送ったら）、自動的に元に戻っちゃうわけ？

助言をお願いします。

**nobodyさん** · 2007/04/09(月) 22:03:07

＞htmlspecialchars で＆ｇｔ；に変換して
意味不明
＞$_POST['name2']の中身は＆ｇｔ；変換済みになっているわけだが、
意味不明
＞二回目を受け取ったら（もう一度送ったら）、自動的に元に戻っちゃうわけ？
意味不明

返れ

**nobodyさん** · 2007/04/09(月) 22:03:45

日本語でおｋ

$fromとかわけわかんないんだけどさ

**nobodyさん** · 2007/04/09(月) 22:03:49

>>752
Cookieに値は入れないが概念的にそうとも言える。

>>759
エラーも表示されないってことなら、同じファイル名の別のtest.phpだったとか。

>>762
変換というよりエスケープ。
$form = "<form action=\"${_SERVER
ここで「"」を「\"」にエスケープしてるけど、HTMLでは元に戻ってるでしょ？

**nobodyさん** · 2007/04/09(月) 22:06:48

>>762
まあ誰もがハマる道かもしれんな
元に戻るんじゃなく、送信されるhiddenの値が
HTMLエスケープされていない文字列ってだけだ

**nobodyさん** · 2007/04/09(月) 22:07:34

>>759
printの最後に\n

**nobodyさん** · 2007/04/09(月) 22:13:18

>>766

**762** · 2007/04/09(月) 22:17:16

？
ごめん、あれだ、マジでこんがらがっている

かりに<img>を入れると<img>に変換されて
<input type=hidden name=name2 value="<img>">
上のソースになるわけだけど、
これをそのまま送るとなんで<img>になっちゃんだ？

**nobodyさん** · 2007/04/09(月) 22:22:09

完全意味不明だな。
普通に考えて<一回目＞は
＆ｌｔ；img＆gt;
になってるだろ

**nobodyさん** · 2007/04/09(月) 22:23:29

>>765
DoCoMoでセッションが使えなかったからさ・・・

**499** · 2007/04/09(月) 22:24:02

遅レススマソ
なんか検索して一見目にここから最新のfixもってってちょって書いてあったんで落としてビルドしたけどやっぱいり同じエラーで止まったっす
英語読めてないだけかもしれませんが

**762** · 2007/04/09(月) 22:24:26

すいません、半角で送信してもうた。

<input type=hidden name=name2 value="＆ｌｔ；img＆gt;">

**nobodyさん** · 2007/04/09(月) 22:24:36

>>767
素晴らしい指摘。感心した。

**nobodyさん** · 2007/04/09(月) 22:27:20

>>773
質問の内容がまじで意味不明だが
ページを開くと一度だけプログラムが実行され
実行終了後には変数が全て空っぽになる（一部例外は除く

**nobodyさん** · 2007/04/09(月) 22:29:50

>>773
それはHTMLの仕様。

**nobodyさん** · 2007/04/09(月) 22:33:49

$_POSTや$_GETの値をそのままクエリで使用するときは、

$post = $_POST;
"SELECT * FROM test WHERE id='$post'"
より
"SELECT * FROM test WHERE id='"+$post+"'"
のほうがいいんですかね？
$postの値が「' 適当なSQL文'」だったらまずいですよね
もしその場合は下記の方も同じ動作なのでしょうか？

**nobodyさん** · 2007/04/09(月) 22:38:10

なんか今日、htmlエスケープ/specialchar関係で質問してる奴、全部同じ匂いするなｗ

**nobodyさん** · 2007/04/09(月) 22:41:03

>>777
そんなこと気にするくらいなら
適当なDBインターフェースを利用して
プレースフォルダを使えばいい

pear::DB の場合
$params = array($post);
$sql = "SELECT * FROM test WHEAR id=?";
$ret = $conn->query($sql, $params);

**nobodyさん** · 2007/04/09(月) 22:44:42

>>777
+演算子じゃインジェクションの前にとんでもないことになるけど。
クォートするかPDOStatement->bindValue()でも使おうぜ…。