GETメソッド　ID　MYSQL

解決済

質問者：enjoint64
質問日時：2007/06/26 18:20
回答数：2件

分からないことがありましたのでご質問をさせて頂きます。
現在作成してる仕様なのですが、
フォームの一つの項目のリンクを設置し、別のページに渡し
そこで更に詳細な情報をMYSQLからひっぱってきて表示させようとしております。
そこでGETメソッドを使って行おうとしているのですが、どうしても
変数の受け渡しがうまくいきません。
こちらがそのコードになります。

１，フォーム
<td><a href="shousai.php?code=<?php echo $row['id'];?>">詳しくはこちら</a></td>

２，詳細ページ(shousai.php)
<?php
echo var_dump($_GET["id"]);
$id = $_GET["id"];

$con = mysql_connect('localhost','aaaa','aaa');
if (!$con)
{
print("MySQLへの接続に失敗しました");
exit;
}

if (!mysql_select_db("database"))
{
print("データベースへの接続に失敗しました");
exit;
}

$sql="select * from table where id ='$id'";
$result=mysql_query($sql,$con); //SQL文の発
$rows=mysql_num_rows($result);
while($row = mysql_fetch_array($result)){

?>
<table border ="1">
<tr><td><?php echo $row["name"]; ?></p></td></tr>

<tr><td><?php echo $row["address"]; ?></td></tr>

<tr><td><?php echo $row["station"]; ?></td></tr>
<?php } ?>

</table>
2の詳細ページにてvar_dumpで$_GET["id"];の値を受け取ってるか
確かめたのですがNULLになっており、ページになにも反映されません。
フォームからリンクで値を送り、それをきっかけにデータベースに接続して詳細を表示させたいと思っております。
どなたかご存知の方お伺いできませんでしょうか？

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (2件)

ベストアンサー優先
最新から表示
回答順に表示

No.2ベストアンサー

回答者： taketan_mydns_jp
回答日時：2007/06/26 18:46

#1です

回答とは直接関係ありませんが、GET変数でそのままSQLを発行するのはとても危険です。
SQLインジェクション
http://www.google.co.jp/search?q=SQL%E3%82%A4%E3 …
バリデーションを行なった方が良いです。
例えば$_GET["id"]は数字なら、
if(ereg("^[0-9]+$",$_GET["id"])){
$id=$_GET["id"];
}else{
echo "送信されたIDは不正です";exit;
}
文字列ならエスケープも有効です。
$id=mysql_real_escape_string($_GET["id"]);

参考まで。

この回答への補足

taketan_mydns_jp様
大変貴重なアドバイスどうもありがとうございます。
一点お伺いしたいのですが、実際
$_GET["id"] は、$_GET["code"]の間違いでありました。
そこで今頂きましたコードですが
こちらは受取り側、今回ですとshousai.phpの所に
$id = $_GET["code"];
ではなく

if(ereg("^[0-9]+$",$_GET["CODE"])){
$id=$_GET["id"];
}else{
echo "送信されたIDは不正です";exit;
}
にすれば宜しいのでしょうか？？

補足日時：2007/06/26 18:53

通報する