今日のYWT

やったこと

PHP

• PHP+MySQL（MariaDB） Webサーバーサイドプログラミング入門 section4-62
  • データベース
  • GROUP BY
  • ORDER BY
  • relation
  • 外部結合
  • バックアップとリストア
  • Webシステムを作ろう
  • PDOでmysqlに接続
  • execでSQLの実行
  • queryでSELECTして絞り込み
  • フォームから送られてきた情報を保存
  • データの一覧画面・詳細画面の作成

わかったこと

SQLインジェクション対策

• そのままカラムや値を指定させない。prepareでSQL文を準備して、bindでそこに入ってくる値の数とパラメータの内容を固定する

  $statement = $db->prepare('INSERT INTO memos SET memo = ?, created_at=NOW()');
  $statement->bindParam(1, $_POST['memo']);
  $statement->execute();