設(shè)定されている2つの異なる変數(shù)（$ジョークと$エラー）があることに気付くでしょう。

変數(shù)に値が割り當(dāng)てられているかどうかを確認(rèn)するには、フォームが送信されたかどうかを確認(rèn)するために以前に使用したISSET関數(shù)を使用できます。テンプレートには、エラーを表示するかジョークのリストを表示するかを決定するIFステートメントを含めることができます。

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

PHPで配列を処理する最も一般的な方法は、ループを使用することです。ループやループ用にすでに見てきました。 foreachループは、配列を処理するのに特に役立ちます：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

ループコードとHTMLコードを説明するこのPHPコードのブレンドを使用すると、コードはかなり亂雑に見えます。このため、テンプレートで使用されている場(chǎng)合、foreachループを作成する代替方法を使用することが一般的です。

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

例：mysql-listjokes

try {
  $pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
    ’mypassword’);
  $output = 'Database connection established.';
}
catch (PDOException $e) {
  $output = 'Unable to connect to the database server.';
}

include  __DIR__ . '/../templates/output.html.php';

$エラーテキストがページに表示されるか、各ジョークがブロック見積もり（

）に含まれる段落（

）に表示されます。ページ。

try {
  $pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
    'mypassword');
   $output = 'Database connection established.';
}
catch (PDOException $e) {
  $output = 'Unable to connect to the database server: ' . $e->getMessage();
}

include  __DIR__ . '/../templates/output.html.php';

ジョークにはおそらくHTMLコード（、または＆＆＆）として解釈できる文字が含まれている可能性があるため、HTMLSpecialCharsを使用してHTML文字エンティティ（つまり、＆＆lt;、＆gtに変換される必要があります。 ;、および＆＆amp;）それで、それらが正しく表示されるように。

次の畫像は、データベースにいくつかのジョークを追加したら、このページがどのように見えるかを示しています。

<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Script Output</title>
  </head>
  <body>
      <?php echo $output; ?>
  </body>
</html>

コントローラーでwhileループを使用して、一度に1つずつセットから行を削除する方法を覚えていますか？

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

pdostatementオブジェクトは、foreachループに渡すと、配列のように動(dòng)作するように設(shè)計(jì)されていることがわかります。したがって、しばらくの間ではなく、Foreachループを使用してデータベース処理コードをわずかに簡(jiǎn)素化できます。

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

この本の殘りの部分では、このTidier Foreachの形を使用します。

別のきちんとしたツールPHPが提供するのは、Echoコマンドを呼び出す速記の方法です。これは、すでに見たように、頻繁に使用する必要があります。私たちのエコーステートメントは次のようになります： 代わりに、

これを使用できます：

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

これはまったく同じことをします。 速記を使用した更新されたテンプレートを次に示します。

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

例：mysql-listjokes-shorthand

この時(shí)點(diǎn)から適用可能な速記表記を使用します。

注：5.4以前のPHPのバージョンでは、この速記の表記法にはかなり珍しいPHP設(shè)定を有効にする必要があるため、互換性の理由で落膽しました。速記の表記法を使用した場(chǎng)合、コードが有効になっていないサーバーに移動(dòng)したときに動(dòng)作を停止した可能性があります。

try {
  $pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
    ’mypassword’);
  $output = 'Database connection established.';
}
catch (PDOException $e) {
  $output = 'Unable to connect to the database server.';
}

include  __DIR__ . '/../templates/output.html.php';

PHP 5.4（最近現(xiàn)実的に遭遇するバージョン）の時(shí)點(diǎn)で、速記はPHP設(shè)定に関係なく機(jī)能するため、すべてのサーバーで動(dòng)作しないことを心配せずに安全に使用できます。

先に考える

見た例では、ページを表示するために必要なすべてのHTMLが含まれるテンプレートjokes.html.phpを作成しました。ただし、當(dāng)社のウェブサイトが成長(zhǎng)するにつれて、さらにページを追加します。人々がウェブサイトにジョークを追加できるようにするページが必要です。また、入門テキストを備えたホームページ、所有者の連絡(luò)先の詳細(xì)を備えたページ、そしてサイトが成長(zhǎng)するにつれて、おそらくさえ、ホームページも必要です。人々がウェブサイトにログインできるページ。

ここではかなり前に飛び込んでいますが、プロジェクトがどのように成長(zhǎng)するかを常に検討する価値があります。 jokes.html.phpに使用したばかりのアプローチを適用した場(chǎng)合、殘りのテンプレートにaddjoke.html.php、home.html.php、contact.html.php、login.html.phpなど - 私たちllは、繰り返されるコードがたくさんあります。 ウェブサイト上のすべてのページには、このようなものになるテンプレートが必要です。

プログラマーとして、繰り返しコードはあなたができる最悪のことの1つです。実際、プログラマーはしばしば「自分自身を繰り返さないでください」を表す乾燥原理を指します。コードのセクションを繰り返していることに気付いた場(chǎng)合、ほぼ間違いなくより良い解決策があります。

最高のプログラマーはすべて怠zyであり、コードを繰り返すことは作業(yè)を繰り返すことを意味します。テンプレートにこのコピー/貼り付けアプローチを使用すると、Webサイトの維持が非常に困難になります。各ページに表示したいフッターとナビゲーションセクションがあると想像しましょう。私たちのテンプレートは、次のようになります：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

2022年に問題に遭遇します！ Webサイト上のすべてのページのテンプレート - たとえば、jokes.html.php addjoke.html.php、home.html.php、contact.html.php andlogin.html.php - 上記の構(gòu)造にコードを含める場(chǎng)合「2022」の著作権通知で年を更新すると、各テンプレートを開き、日付を変更する必要があります。 この問題を回避するために、私たちは賢く、サーバーのクロック（エコー日付（ 'y'）;）から動(dòng)的に読み取ることができますが、<script>タグを追加したい場(chǎng)合はどうなりますかそれはすべてのページに含まれていましたか？または、メニューに新しいリンクを追加しますか？すべてのテンプレートファイルを開いて変更する必要があります！ </script>

5つまたは6つのテンプレートを変更するのは少し迷惑な場(chǎng)合がありますが、それほど問題は発生しません。しかし、ウェブサイトが數(shù)十または數(shù)百ページに成長(zhǎng)した場(chǎng)合はどうなりますか？メニューにリンクを追加するたびに、すべてのテンプレートを開いて変更する必要があります。

この問題

一連のインクルードステートメントで解決できます。たとえば、

しかし、この方法には透視が必要です。將來行うために必要な変更を正確に予測(cè)する必要があり、関連性を使用する必要があります。 上記の例では、たとえば、nav.html.phpにそれらを追加することで新しいメニューエントリを簡(jiǎn)単に追加できますが、すべてのページに<script>タグを追加するか、CSSクラスを追加するのと同じくらい些細(xì)なことですNAV要素は、変更を行うためにすべてのテンプレートを開くことを意味します。 </script>ウェブサイトの生涯にわたって必要なすべての変更を正確に予測(cè)する方法はないため、この章の冒頭で示したアプローチは実際には優(yōu)れています。

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

このテンプレートを常にLayout.html.phpを呼び出す場(chǎng)合、$ output変數(shù)をいくつかの

htmlコード

に設(shè)定し、ナビゲーションとページに表示してください。フッター。これの利點(diǎn)は、Webサイトのすべてのページの日付を変更するには、1つの場(chǎng)所で変更するだけでいいということです。 また、各コントローラーがタグの間に表示される値（サンプルコードでjokes.cssとして使用できる）とともにとタグの間に表示される値を定義できるように、$タイトル変數(shù)にも忍び込みました。ページは少しきれいです。

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

コントローラーを使用できるようになりました。 '/../templates/layout.html.php'; $ outputと$ titleの値を提供します

rayout.html.phpを使用したjokes.phpは、以下に示すようにコード化されています

例：mysql-listjokes-layout-1

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

しかし、待ってください！ Tryブロックの$ outputで何が起こっていますか？ $ output変數(shù)には、実際にはHTMLコードが含まれています。ループは、ジョークリストのHTMLコードを含む文字列を構(gòu)築します。

原則として、これが私たちが起こりたいことです。$ output変數(shù)には、ナビゲーションとフッターの間にレイアウトの間に挿入されるHTMLコードが含まれています。信じられないほど醜い。

既に、includeステートメントを介してHTMLとPHPコードの混合を避ける方法を示しました。先ほど行ったように、ジョークを獨(dú)自のファイルに表示するためにHTMLを移動(dòng)するのは良いことですが、今回は、ジョークリストページに固有のHTMLコードのみです。

Jokes.html.php Templatesディレクトリには、このコードが含まれている必要があります

重要なことに、これはジョークを表示するためのコードのみです。ナビゲーション、フッター、

タグなど、すべてのページで繰り返されるものは含まれていません。ジョークリストページに固有のHTMLコードのみです。 このテンプレートを使用するには、以下を試すことができます

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

またはあなたが非常に賢い場(chǎng)合：

このアプローチを使用すると、ロジックは完全に健全になります。 jokes.html.phpを含める必要があります。殘念ながら、includeステートメントは、呼び出されたポイントで含まれるファイルからコードを?qū)g行するだけです。上記のコードを?qū)g行すると、出力は実際には次のようなものになります：

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

jokes.html.phpが最初に含まれるため、最初にブラウザに送信されます。私たちがする必要があるのはLoad jokes.html.phpですが、出力をブラウザに直接送信する代わりに、それをキャプチャして$ output変數(shù)に保存する必要があります。 。

includeステートメントは値を返しないため、$ output = include 'jokes.html.php';望ましい効果はありません。PHPには、それを行うための代替聲明がありません。しかし、それはそれが不可能であるという意味ではありません。

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

PHPには、「出力バッファリング」と呼ばれる便利な機(jī)能があります。複雑に聞こえるかもしれませんが、コンセプトは実際には非常にシンプルです。エコーを使用して何かを印刷する場(chǎng)合、またはHTMLを含むファイルを含める場(chǎng)合、通常はブラウザに直接送信されます。出力バッファリングを使用することにより、出力をブラウザに直接送信する代わりに、HTMLコードは「バッファ」でサーバーに保存されます。これは、基本的にこれまでに印刷されているすべてを含む文字列です。 さらに良いことに、PHPを使用すると、バッファーをオンにしてその內(nèi)容をいつでも読み取ることができます。

必要な2つの関數(shù)があります

• ob_start（）、出力バッファを開始します。この関數(shù)を呼び出した後、echoまたはhtmlを介して印刷されたものはすべて、ブラウザに送信されるのではなく、バッファーに保存されます。
ob_get_clean（）は、バッファの內(nèi)容を返してクリアします。

おそらく推測(cè)したように、関數(shù)名の「OB」は「出力バッファー」の略です。

含まれているファイルの內(nèi)容をキャプチャするには、これら2つの機(jī)能を利用する必要があります。

このコードが実行されると、$ output変數(shù)には、jokes.html.phpテンプレートで生成されたHTMLが含まれます。

これからこのアプローチを使用します。各ページは、2つのテンプレートで構(gòu)成されています：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

layout.html.phpには、すべてのページで必要なすべての一般的なHTMLが含まれています

その特定のページに固有のHTMLコードのみを含む一意のテンプレート

完全なjokes.phpは次のようになります：

index.phpファイルを追加して、「ホーム」リンクを機(jī)能させてみましょう。このページに何でも入れることができます：最新のジョーク、今月の最高の冗談、または私たちが好きなものは何でも。ただし、今のところ、シンプルに保ち、「インターネットジョークデータベースへようこそ」というメッセージがあります。

TemplatesフォルダーでHome.html.phpというファイルを作成します：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

index.phpはjokes.html.phpよりもかなり簡(jiǎn)単です。データベースから情報(bào)が取得されないため、データベース接続は必要ありませんし、試してみる必要はありません。 。

例：mysql-listjokes-layout-3

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

注：必要に応じてデータベースにのみ接続することをお?jiǎng)幛幛筏蓼?。データベースは多くのWebサイトで最も一般的なパフォーマンスボトルネックであるため、できるだけ少ない接続を作成することが望ましいです。

両方のページがブラウザで動(dòng)作することをテストします。 https://v.je/jokes.phpにアクセスすると、ジョークのリストが表示され、https://v.je/jokes.phpにようこそメッセージが必要です。両方のページには、ナビゲーションとフッターが含まれている必要があります

レイアウトを修正してみてください。html.php。あなたが行う変更は両方のページに表示されます。サイトに數(shù)十ページがあった場(chǎng)合、レイアウトの変更はすべてのページに影響します。 データをデータベースに挿入する

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

このセクションでは、サイト訪問者がデータベースに自分のジョークを追加できるようにするために、ツールを自由に使用する方法を示します。

サイトの訪問者に新しいジョークを入力させたい場(chǎng)合は、明らかにフォームが必要になります。これが請(qǐng)求書に適合するフォームのテンプレートです：

Templates DirectoryのAddJoke.html.phpとしてこれを保存します。

要素の最も重要な部分は、アクション屬性です。アクション屬性は、フォームが送信されたら、データを送信する場(chǎng)所をブラウザに伝えます。これは、「addjoke.php」などのファイルの名前である可能性があります。ただし、

屬性を「 "に設(shè)定して空にしたままにしておくと、ユーザーが提供するデータが現(xiàn)在表示されているページに送り返されます。ブラウザのURLにPageがAddjoke.phpとして表示されている場(chǎng)合、ユーザーが追加ボタンを押すとデータが送信されます。

このフォームを前の例に結(jié)び付けましょう。これにより、データベースにジョークのリストが表示されました。 layout.html.phpを開き、addjoke.phpに行く「新しいジョークを追加」リンクにURLを追加します：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

layout.html.phpを開いている間、上記のように第2章のform.css styleSheetを含めます。これで、レイアウト內(nèi)に表示される任意のフォームには、以前に使用したスタイルがあります。 このフォームが送信されると、リクエストには、テキスト領(lǐng)域に入力されたジョークのテキストを含む変數(shù)（joketext）が含まれます。この変數(shù)は、PHPによって作成された$ _POSTアレイに表示されます。

パブリックディレクトリにaddjoke.phpを作成しましょう。このコントローラーの基本的なロジックは次のとおりです

Joketext Post変數(shù)が設(shè)定されていない場(chǎng)合は、フォームを表示します。 それ以外の場(chǎng)合は、提供されたジョークをデータベースに挿入します。

このskeleton addjoke.php：

を作成します
• このオープニングステートメントが$ _POSTアレイにJoketextという変數(shù)が含まれているかどうかを確認(rèn)します。設(shè)定されている場(chǎng)合、フォームが提出されています。それ以外の場(chǎng)合、addjoke.html.phpのフォームは、ブラウザに表示するために$ output変數(shù)にロードされます。 この時(shí)點(diǎn)でブラウザでaddjoke.phpを開いている場(chǎng)合、フォームが表示されますが、冗談を入力して追加することは機(jī)能しません。 $ _POST ['JOKETEXT']。
• 提出されたジョークをデータベースに挿入するには、$ _POST ['joketext']に保存されている値を使用して挿入クエリを?qū)g行して、ジョークテーブルのジョークテキスト列に記入する必要があります。これにより、このようなコードを書くことにつながる可能性があります：

ただし、このコードには深刻な問題があります。$ _POST ['JOKETEXT']の內(nèi)容は、フォームを提出したユーザーの制御下にあります。悪意のあるユーザーが厄介なSQLコードをフォームに入力した場(chǎng)合、このスクリプトは疑いなくMySQLサーバーに送ります。このタイプの攻撃はSQLインジェクション攻撃と呼ばれ、PHPの初期には、ハッカーがPHPベースのWebサイトで見つけて悪用した最も一般的なセキュリティホールの1つでした。 （多くのプログラミングニッチでは、開発者が期待していないため、SQLインジェクション攻撃は驚くほど効果的です。トラフィックカメラにデータベースをドロップさせるこの顕著な試みを考慮してください。 ??>

ユーザーはこれをテキストボックスに入力する場(chǎng)合があります：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

データベースに送信されたクエリは次のとおりです。

しかし、ユーザーが以下に入力した場(chǎng)合はどうなりますか：

この場(chǎng)合、データベースに送信されたクエリは次のとおりです。

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

ジョークには引用文字が含まれているため、MySQLはエラーを返します?！窯et」の前に引用が表示される前に、文字列の終わりとして表示されます。 これを有効なクエリにするには、データベースに送信されたクエリが次のようになるように、テキスト內(nèi)のすべての引用符を逃れる必要があります。

見積もりが含まれている場(chǎng)合、

データが挿入されていません。ユーザーにとっては迷惑な問題です。タイプしたものは何でも失うでしょう。しかし、悪意のあるユーザーはこれを悪用することができます。 PHPの古いバージョンでは、セミコロン（;）。

ユーザーがこれをボックスに入力した場(chǎng)合を想像してみてください：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

これにより、次のクエリがデータベースに送信されます

-MySQLの単一行のコメントなので、最後の行は無視され、挿入クエリが実行され、その後、ユーザーがボックスに入力した削除クエリが続きます。実際、ユーザーはボックスに気に入った任意のクエリを入力でき、データベースで実行されます！

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

魔法の引用

PHPの初期の頃、SQL注入攻撃は非常に恐れられていたため、PHPの背後にあるチームが言語(yǔ)にSQL注入に対する組み込みの保護(hù)を追加しました。まず、複數(shù)のクエリを一度に送信する機(jī)能を無効にしました。第二に、彼らは魔法の引用と呼ばれるものを追加しました。 PHPのこの保護(hù)機(jī)能は、ブラウザによって送信されたすべての値を自動(dòng)的に分析し、アポストロフィのような「危険な」文字の前にbackSlashes（）を挿入しました。

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

魔法の引用機(jī)能の問題は、それが防止されただけ多くの問題を引き起こしたことです。まず第一に、検出したキャラクターと、それらを消毒するために使用した方法（バックスラッシュでそれらを接頭する）は、狀況によっては有効でした。サイトの文字エンコードと使用していたデータベースサーバーに応じて、これらの測(cè)定値は完全に効果がない可能性があります。 2番目に、提出された値がSQLクエリを作成するよりも、他の

の目的で使用された場(chǎng)合、それらのバックスラッシュは本當(dāng)に面倒です。魔法の引用機(jī)能は、アポストロフィが含まれている場(chǎng)合、ユーザーの姓に偽のバックスラッシュを挿入します。 要するに、Magic Quotesの機(jī)能は悪い考えでした。バージョン5.4からPHPから削除されたためです。ただし、PHPの年齢とそこにあるコードの量により、それについてのいくつかの言及に出くわすかもしれないので、魔法の引用機(jī)能が何をすべきかを基本的に理解する価値があります。

魔法の引用が悪い考えとして特定されたら、PHP開発者からのアドバイスはそれをオフにすることでした。しかし、これは、いくつかのWebサーバーがオフになり、他のWebサーバーがオンになっていることを意味していました。これは開発者にとって頭痛の種でした。彼らは、コードを使用してそれをオフにするためにこれまでにそれをオフにすることを指示する必要がありました - これは一部の共有サーバーでは不可能でした - またはそれを説明するために追加のコードを書きます。

ほとんどの開発者は後者を選びました、そして、あなたは次のようないくつかのコードに出くわすかもしれません：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

このようなレガシーコードでこのようなステートメントが表示された場(chǎng)合、IFステートメント內(nèi)のコードは最近のPHPバージョンで実行されないため、ブロック全體を安全に削除できます。

このようなコードが表示されている場(chǎng)合、元の開発者が魔法の引用の問題を理解し、それを防ぐために最善を盡くしていたことを意味します。 PHP 5.4（これは、サポートされていないため、決して出くわすべきではありません）の時(shí)點(diǎn)で、get_magic_quotes_gpc（）は常にfalseを返し、コードは実行されません。

魔法の引用について本當(dāng)に知る必要があるのは、それが手元の問題に対する悪い解決策だったということだけです。もちろん、魔法の引用がなければ、問題の別の解決策を見つける必要があります。幸いなことに、PDOクラスは、「準(zhǔn)備されたステートメント」と呼ばれるものを使用して、すべてのハードワークを行うことができます。

作成されたステートメント

準(zhǔn)備されたステートメントは、事前にデータベースサーバーに送信した特別な種類のSQLクエリであり、サーバーに実行のために準(zhǔn)備する機(jī)會(huì)を與えますが、実際には実行しません。 .phpスクリプトを書くようなものだと考えてください。コードはそこにありますが、実際にはWebブラウザのページにアクセスするまで実行されません。準(zhǔn)備されたステートメントのSQLコードには、クエリが実行されるクエリ

が

の場(chǎng)合に値を提供するプレースホルダーを含めることができます。これらのプレースホルダーを埋めるとき、PDOは「危険な」キャラクターを自動(dòng)的に守るのに十分賢いです。

挿入クエリを準(zhǔn)備してから、ジョークのテキストとして$ _POST ['joketext']で安全に実行する方法を次に示します。

これを分解しましょう。一度に1つのステートメントです。まず、SQLクエリをPHP文字列として記述し、通常どおり変數(shù)（$ sql）に保存します。ただし、この挿入クエリで珍しいのは、Joketext列に値が指定されていないことです。代わりに、この値のプレースホルダーが含まれています（：joketext）。今、冗談のフィールドについて心配しないでください。すぐに丸みを帯びます。

次に、PDOオブジェクトの準(zhǔn)備方法（$ PDO）を呼び出し、SQLクエリを引數(shù)として渡します。これにより、クエリがMySQLサーバーに送信され、クエリを?qū)g行するように

を準(zhǔn)備するように依頼します。 Joketext列に値がないため、MySQLはまだ実行できません。準(zhǔn)備メソッドは、pdostatementオブジェクト（はい、選択したクエリの結(jié)果を與えるのと同じ種類のオブジェクト）を返します。

MySQLが実行のためのステートメントを作成したので、pdostatementオブジェクト（$ stmt）のbindvalueメソッドを呼び出すことにより、欠損値を送信できます。このメソッドを1回提供します（この場(chǎng)合、1つの値（ジョークテキスト）を提供する必要があります）。 （$ _POST ['JOKETEXT']）で記入したい。 MySQLは、解析する必要があるSQLコードではなく、個(gè)別の値を送信していることを知っているため、値の文字がSQLコードとして解釈されるリスクはありません。準(zhǔn)備されたステートメントを使用する場(chǎng)合、SQLインジェクションの脆弱性は不可能です！

最後に、pdostatementオブジェクトの実行方法を呼び出して、mysqlに提供した値でクエリを?qū)g行するように指示します。 （はい、このpdostatementメソッドは、execと呼ばれるPDOオブジェクトの同様の方法とは異なり、executeと呼ばれます。PHPには多くの強(qiáng)みがありますが、一貫性はそれらの1つではありません?。?

このコードについて気付く興味深いことの1つは、ジョークテキストの周りに引用符を配置したことがないということです。 ：joketextは引用符なしでクエリの內(nèi)部に存在し、bindvalueを呼び出したとき、$ _postアレイからプレーンジョークテキストを渡しました。準(zhǔn)備されたステートメントを使用する場(chǎng)合、データベース（この場(chǎng)合はMySQL）がテキストが文字列であり、クエリが実行されたときにそのように扱われるほど賢いため、引用符は必要ありません。 このコードの長(zhǎng)引く質(zhì)問は、今日の日付を冗談型フィールドに割り當(dāng)てる方法です。私たちは、mysqlが必要とするyyyy-mm-dd形式で今日の日付を生成するために、いくつかの派手なphpコードを書くことができましたが、mysql自體にこれを行う機(jī)能があることがわかりました - curdate：

>

MySQL Curdate関數(shù)は、Jokedate列の値として現(xiàn)在の日付を割り當(dāng)てるために使用されます。 MySQLには実際にはこれらの機(jī)能が數(shù)十がありますが、必要に応じてのみ紹介します。 クエリができたので、「ジョークを追加」フォームの送信を処理するために以前に開始したIFステートメントを完了することができます。

しかし、待ってください！このIFステートメントには、もう1つのトリックがあります。以前のようにPHPテンプレートを表示する代わりに、新しいジョークをデータベースに追加したら、ユーザーのブラウザをジョークのリストにリダイレクトします。そうすれば、ユーザーは新しく追加されたジョークを見ることができます。それが、上記のIFステートメントの最後にある2行がそうすることです。

望ましい結(jié)果を達(dá)成するために、最初の本能は、新しいジョークを追加してjokes.html.phpテンプレートを使用してリストを表示した後、コントローラーがデータベースからジョークのリストを単純に取得できるようにすることです。これを行うことの問題は、ブラウザの観點(diǎn)からジョークのリストが「ジョークを追加」フォームを提出した結(jié)果であることです。ユーザーがページを更新する場(chǎng)合、ブラウザはそのフォームを再送信し、新しいジョークの別のコピーがデータベースに追加されます！これはめったに望ましい動(dòng)作ではありません。

代わりに、ブラウザに、ジョークの更新されたリストを、フォームを再送信せずにリロードできる通常のWebページとして扱うことを望んでいます。これを行う方法は、HTTPリダイレクトを使用してブラウザのフォームの送信に回答することです。これは、ブラウザに別のページに移動(dòng)するように指示する特別な応答です。 （HTTPはHyperText Transfer Protocolの略であり、VisitorのWebブラウザーとWebサーバーの間で交換されるリクエスト/応答通信を説明する言語(yǔ)です。）

PHPヘッダー関數(shù)は、ブラウザに送信された応答に特定のヘッダーを挿入できるようにすることにより、このような特別なサーバー応答を送信する手段を提供します。リダイレクトを信號(hào)にするには、ブラウザを次のように指示するページのURLでロケーションヘッダーを送信する必要があります。

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

この場(chǎng)合、jokes.phpにブラウザを送信したいと考えています。データベースに新しいジョークを追加した後、ブラウザをコントローラーにリダイレクトする2つの行です。

以下は、addjoke.phpコントローラーの完全なコードです

例：mysql-addjoke

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

これを確認(rèn)するためにこれを確認(rèn)して、すべてが理にかなっていることを確認(rèn)すると、データベースクエリを?qū)g行するコードのいずれかの前に新しいPDOオブジェクトを作成してデータベースに接続するコードが來る必要があることに注意してください。ただし、「ジョークの追加」フォームを表示するには、データベース接続は必要ありません。接続は、フォームが提出されたときにのみ行われます。

これをロードして、ブラウザを介して新しいジョークをデータベースに1つまたは2つ追加します。 あなたはそれを持っています：あなたは既存のジョークを見ることができます - そしてあなたのmysqlデータベースに新しいジョークを追加します。

データベースからデータを削除します

このセクションでは、ジョークデータベースサイトを最後に強(qiáng)化します。 Jokesページ（jokes.php）の各ジョークの橫に、削除ラベルの付いたボタンを配置します。クリックすると、データベースからそのジョークを削除し、更新されたジョークリストを表示します。

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

挑戦が好きなら、私の解決策を見るために読む前に、自分でこの機(jī)能を書くのを刺したいかもしれません。ブランドの新しい機(jī)能を?qū)g裝していますが、主にこの章の前の例で採(cǎi)用したものと同じツールを使用します。ここにあなたを始めるためのいくつかのヒントがあります：

• 新しいコントローラー（deletejoke.php）が必要です。
• SQL Deleteコマンドが必要になります。これを第3章で紹介しました。
コントローラーで特定のジョークを削除するには、ユニークに識(shí)別する必要があります。ジョークテーブルのID列は、この目的を果たすために作成されました。ジョークを削除するリクエストで削除するには、ジョークのIDを渡す必要があります。これを行う最も簡(jiǎn)単な方法は、隠されたフォームフィールドを使用することです。
少なくとも、これにどのようにアプローチするかを考えるには、少し時(shí)間がかかります。解決策を見る準(zhǔn)備ができたら、読んでください！

最初に、データベースからジョークのリストを取得する選択クエリを変更する必要があります。 JokeText列に加えて、各ジョークをユニークに識(shí)別できるようにID列を取得する必要があります。

また、データベースの結(jié)果を保存するwhileループを$ jokesアレイに変更するwhileループを変更する必要があります。各ジョークのテキストを配列にアイテムとして単に保存する代わりに、各ジョークのIDとテキストの両方を保存します。これを行う1つの方法は、$ jokes配列內(nèi)の各アイテムをそれ自體の配列にすることです。

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

注：既にforeachループを使用してデータベースの結(jié)果行を処理することに切り替えている場(chǎng)合、それも正常に機(jī)能します：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

このループがコースを?qū)g行すると、$ JOKESアレイがあります。各アイテムは、ジョークのIDとそのテキストの2つのアイテムを持つ連想配列です。ジョーク（$ jokes [n]）ごとに、ID（$ jokes [n] ['id']）とそのテキスト（$ jokes [n] ['text']）を取得できます。

次のステップは、jokes.html.phpテンプレートを更新して、この新しい配列構(gòu)造から各ジョークのテキストを取得し、各ジョークの削除ボタンを提供することです。 この更新されたコードのハイライトは次のとおりです

• 各ジョークはフォームで表示され、提出された場(chǎng)合、そのジョークを削除します。フォームのアクション屬性を使用して、これを新しいコントローラーdeletejoke.phpに信號(hào)します。
$ jokesアレイの各ジョークは、単純な文字列の代わりに2項(xiàng)目アレイで表されるため、ジョークのテキストを取得するためにこの行を更新する必要があります。これは、$ joke ['text]の代わりに$ joke [' text ']を使用して行います
• このジョークを削除するためにフォームを送信すると、削除されるジョークのIDに沿って送信します。これを行うには、ジョークのIDを含むフォームフィールドが必要ですが、このフィールドをユーザーから隠しておくことをお?jiǎng)幛幛筏蓼?。そのため、非表示のフォームフィールド（入力型= "非表示"）を使用します。このフィールドの名前はIDであり、その値は削除されるジョークのIDです（$ joke ['id']）。ジョークのテキストとは異なり、IDはユーザーがサビザの値ではないので、 htmlspecialcharsを使用してHTML-Safeにすることを心配する必要があります。ジョークがデータベースに追加されたときにID列のMySQLによって自動(dòng)的に生成されるため、それが數(shù)になることを確信できます。
送信ボタン（入力タイプ= "送信"）は、クリック時(shí)にフォームを提出します。その値屬性は、削除のラベルを提供します。
最後に、このジョークのフォームを閉じます。
• 注：HTMLを知っている場(chǎng)合、引用されたテキスト（ジョーク）の一部ではないため、フォームと入力タグがブロッククロート要素の外側(cè)に屬すると考えているでしょう。

厳密に言えば、それは本當(dāng)です。フォームとその入力は、実際にはブロッククオートの前または後のいずれかでなければなりません。殘念ながら、そのタグ構(gòu)造を表示するには、この本の範(fàn)囲を超えた小さなCSS（カスケードスタイルのシート）コードが明確に必要です。

PHPとMySQLに関する本の中でCSSレイアウトテクニックを教えるのではなく、この不完全なマークアップを使用することにしました。このコードを現(xiàn)実の世界で使用する場(chǎng)合は、CSSの學(xué)習(xí)に時(shí)間を費(fèi)やす必要があります（または、少なくともCSSの第一人者のサービスを保護(hù)します）。そうすれば、CSSが見栄えを良くするために必要なCSSを心配することなく、HTMLマークアップを完全に制御できます。 CSSレイアウトについて詳しく知りたい場(chǎng)合は、CSS Master、第3版

、Tiffany Brownをご覧ください。 次のCSSをJokes.cssに追加して、ボタンをジョークの右側(cè)に表示し、それらの間に線を引くようにします。

次の畫像は、削除ボタンが追加された冗談リストがどのように見えるかを示しています。

しかし、待ってください！削除ボタンの動(dòng)作に進(jìn)む前に、一時(shí)的に一歩下がって、この行を注意深く見てみましょう。

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

ここでは、pdostatementオブジェクトをループしています。これにより、キーIDとjoketextが対応する値を含む$ row変數(shù)が提供されます。それを使用して、同じキーと値を持つ別の配列を構(gòu)築します。 ??>

これがひどく非効率的であることにすでに気付いたかもしれません。このコードを使用して同じことを達(dá)成できました：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

しかし、私たちが知っているように、これはforeachループでも達(dá)成できます：

new PDO('mysql:host=hostname;dbname=database', 'username',
  'password')

この例では、データベースのレコードを反復(fù)し、配列を構(gòu)築するためにForeachを使用しています。次に、テンプレート內(nèi)の別のforeachループを使用して、配列をループします。これを書くことができます：

$pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
  'mypassword');

今、$ジョークがテンプレートで反復(fù)されると、それは配列ではなく、pdostatementオブジェクトです。ただし、それは出力に影響を與えず、コードを節(jié)約します。実際、$ result変數(shù)を完全に省略し、pdostatementオブジェクトを$ jokes変數(shù)に直接読み込むことができます。完全なjokes.phpコントローラーは、次のようになりました：

try {
  ? do something risky
}
catch (ExceptionType $e) {
  ? handle the exception
}

コントローラーのレコードを繰り返しすることさえありませんが、テンプレート內(nèi)のレコードを直接反復(fù)し、コードを保存し、ページをわずかに速く実行するだけです。一度記録。

新しい削除ボタンに戻る：この新機(jī)能を機(jī)能させるために殘っているのは、関連するdeletejoke.phpを追加してデータベースに削除クエリを発行することだけです。

更新されたjokes.phpおよびdeletejoke.phpの完全なコードは、例として入手可能です。MySQL-DeleteJoke。

try {
  $pdo = new PDO('mysql:host=mysql;dbname=ijdb', 'ijdbuser',
    ’mypassword’);
  $output = 'Database connection established.';
}
catch (PDOException $e) {
  $output = 'Unable to connect to the database server.';
}

include  __DIR__ . '/../templates/output.html.php';

このコードのチャンクは、章の前半で「ジョークを追加」コードを処理するために追加したコードとまったく同じように機(jī)能します。削除するジョークIDのプレースホルダーで削除クエリを準(zhǔn)備することから始めます。

ヒント：ジョークIDはユーザーに見えない隠されたフォームフィールドによって提供されるため、この場(chǎng)合、データベースをSQLインジェクション攻撃から保護(hù)するために準(zhǔn)備されたステートメントは不要だと思うかもしれません。実際、すべてのフォームフィールド（隠されたフィールドでも）は、最終的にユーザーの制御下にあります。たとえば、広く配布されているブラウザアドオンがあります。たとえば、非表示のフォームフィールドを表示し、ユーザーが編集できるようになります。覚えておいてください：ブラウザから提出された価値は、サイトのセキュリティを保護(hù)することに関して最終的に疑わしいです。

その後、提出された値の$ _POST ['ID']をそのプレースホルダーにバインドし、クエリを?qū)g行します。そのクエリが達(dá)成されたら、PHPヘッダー関數(shù)を使用して、ブラウザに新しいリクエストを送信して、ジョークの更新リストを表示するように依頼します。

注：自分でこの例に取り組んだ場(chǎng)合、ジョークごとに削除ボタンを含むhtmlフォーム全體を書くのではなく、ジョークごとに削除ハイパーリンクを提供することで、最初の本能は、あなたの最初の本能があったかもしれません。ページ。確かに、このようなリンクのコードははるかに簡(jiǎn)単になります：

CREATE USER 'ijdbuser'@'%' IDENTIFIED BY 'mypassword';
GRANT ALL PRIVILEGES ON `ijdb`.* TO 'ijdbuser'@'%';

要するに、ハイパーリンクを使用してアクションを?qū)g行してはいけません（ジョークの削除など）。それらは、いくつかの関連コンテンツへのリンクを提供するためにのみ使用する必要があります。 Method = "Get"のフォームにも同じことが言えます。これは、既存のデータのクエリを?qū)g行するためにのみ使用する必要があります。アクションは、method = "post"が送信されるフォームの結(jié)果としてのみ実行する必要があります。

この理由は、method = "post"を使用してフォームがブラウザーと関連ソフトウェアによって異なって扱われることです。 method = "post"を使用してフォームを送信してから、ブラウザの更新ボタンをクリックする場(chǎng)合、たとえば、ブラウザはフォームを再提出することを確認(rèn)するかどうかを?qū)い亭蓼?。ブラウザは、methods = "get"を使用してリンクやフォームに関して再提出に対して同様の保護(hù)を持っていません。

検索エンジンやその他のWebクローラーも、サイトのすべてのリンクをフォローして、検索結(jié)果にサイトのページを表示するタイミングを作成するために、

ハイパーリンクの結(jié)果としてサイトが冗談を削除した場(chǎng)合、検索エンジンがサイトを見つけるたびにジョークが削除されるのを見つけることができます。 ミッションが達(dá)成されました

この章では、オブジェクトを作成して呼び出してMySQLデータベースサーバーとインターフェイスすることができる內(nèi)蔵PHPクラス（PDO、PDOEXCEPTION、およびPDOSTATEMENT）のコレクションであるPHPデータオブジェクト（PDO）についてすべてを?qū)Wびました。彼らが提供する方法。あなたがそれに參加している間、あなたはまた、オブジェクト指向プログラミング（OOP）の基本を取り上げました。これはPHP初心者にとっては決して偉業(yè)ではありません！

PDOオブジェクトを使用して、IJDBデータベースをオンラインで公開し、訪問者がジョークを追加および削除できるようにする最初のデータベース駆動(dòng)型Webサイトを作成しました。 ある意味では、この章がこの本の記載されている使命を達(dá)成したと言えます。データベース駆動(dòng)型のWebサイトを構(gòu)築する方法を教えてください。もちろん、この章の例には、裸の必需品のみが含まれていました。本の殘りの部分では、この章で構(gòu)築することを?qū)Wんだスケルトンを肉付けする方法を紹介します。 第5章では、MySQLワークベンチのSQLクエリウィンドウに戻ります。リレーショナルデータベースの原則と高度なSQLクエリを使用して、より複雑なタイプの情報(bào)を表現(xiàn)する方法を?qū)Wび、訪問者が追加するジョークに対してクレジットを提供します！

php＆mysql：初心者から忍者、第7版

からこの抜粋を楽しんだことを願(yuàn)っています。完全な本は、SitePoint Premiumで、お?dú)荬巳毪辘伪兢潆娮訒涡訕I(yè)者から入手できます。

Web上にMySQLからのデータの表示に関するFAQ

Webブラウザーを使用してMySQLデータベースに接続するにはどうすればよいですか？

Webブラウザーを使用してMySQLデータベースに接続するには、PHPMyAdminなどのWebベースのインターフェイスが必要です。 PhpMyAdminは、Web上でMySQLの管理を処理することを目的としたPHPで書かれたフリーソフトウェアツールです。使用するには、サーバーにインストールしてから、サーバーのIPアドレスを入力して「/phpmyAdmin」を入力して、Webブラウザーからアクセスする必要があります。 MySQL資格情報(bào)を入力するように求められ、認(rèn)証されると、ブラウザからデータベースを直接管理できます。 ??> MySQL Shellは、MySQLの高度なクライアントおよびコードエディターです。 JavaScriptとPythonにスクリプト機(jī)能を提供し、MySQLを使用するためのAPIが含まれています。それを使用して、データクエリと更新、およびさまざまな管理操作を?qū)g行できます。 MySQLシェルはローカルマシンにインストールできます。適切な資格情報(bào)を使用してMySQLサーバーに接続できます。あなたのウェブサイト上のMySQLデータ。これは通常、PHPのようなサーバー側(cè)のスクリプト言語(yǔ)で行われます。 PHPスクリプトは、MySQLデータベースに接続し、クエリを?qū)g行してデータを取得し、そのデータをWebサイトに表示します。これは、ブログやニュースサイトなど、変更のコンテンツを表示する必要がある動(dòng)的なWebサイトの一般的なアプローチです。

MySQLデータベースを保護(hù)するにはどうすればよいですか？ 。まず、ファイアウォールやその他の適切なセキュリティ対策により、MySQLサーバーが安全な環(huán)境で実行されていることを確認(rèn)します。次に、MySQLアカウントに強(qiáng)力で一意のパスワードを使用します。第三に、MySQLアカウントの特権を制限して、タスクを?qū)g行するために必要な権限のみがあるようにします。最後に、既知の脆弱性から保護(hù)するためにMySQLサーバーを定期的に更新してパッチを當(dāng)てます。

mySQLデータベースをバックアップするにはどうすればよいですか？ 。このツールは、データベースをゼロから再作成できるコマンドを備えたSQLファイルを作成します。このツールをサーバーのコマンドラインから実行して、バックアップするデータベースの名前と作成するファイルの名前を指定できます。 ??> MySQLデータベースを最適化するには、いくつかのステップが含まれます。まず、The Optimize Tableコマンドを使用して、テーブルデータの物理ストレージを再編成し、ディスクスペースを削減できます。次に、MySQLクエリオプティマイザーを使用して、クエリの効率を向上させることができます。第三に、インデックス作成を使用して、データの検索をスピードアップできます。

MySQLデータベースにデータをインポートするにはどうすればよいですか？

Load Data Infileコマンドを使用してMySQLデータベースにデータをインポートできます。このコマンドは、テキストファイルから非常に高速でテーブルに行を読み取ります。ファイル名はリテラル文字列として指定する必要があります。

mysqlデータベースからデータをエクスポートするにはどうすればよいですか？

selectのoutfileコマンドを使用してmysqlデータベースからデータをエクスポートできます。このコマンドは、SERECTステートメントの結(jié)果をサーバーホストのファイルに書き込みます。指示。このコマンドは、テーブル內(nèi)の既存の行を変更します。テーブル名、更新する列、および新しい値を指定し、更新する行を選択する句を指定します。 > deleteコマンドを使用して、MySQLデータベースからデータを削除できます。このコマンドは、既存の行をテーブルから削除します。削除する行を選択するために、テーブル名とWhere句を指定します。削除されたデータを回復(fù)できないため、このコマンドに注意してください。