Mysqlカラムがユーザ入力と等しいテーブルのすべての値を返します

Question

数値を受け付けるSQL文をいくつか持ち、その数値がデータベースのカラムの値と等しい場合、データベース内のすべての行を返す必要があります同じ値を持つ。残念ながら行のみ値を持つblog_post_idを返す0

これは、以下の私のコードです：

<?php 
$options = array(
PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8', 
); 
$blog_post_id = !empty($_POST['blog_post_id']) ? $_POST['blog_post_id'] 
: ''; 

$pdo=new PDO("mysql:dbname=db;host=localhost","username","password", 
$options); 
$statement=$pdo->prepare("SELECT * FROM comment WHERE blog_post_id = 
'$blog_post_id'"); 
$statement->execute(); 
$results=$statement->fetchAll(PDO::FETCH_ASSOC); 
$json=json_encode($results); 
if ($json) 
    echo $json; 
else 
    echo json_last_error_msg(); 

?> 

Answer 1

あなたが実際に機能prepare()を使用してのポイントを逃している、あなたは、クエリが実際にいるかどうかを確認する必要がありますすべての結果を返す。..

<?php 
$options  = array(
    PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8' 
); 
$blog_post_id = !empty($_POST['blog_post_id']) ? $_POST['blog_post_id'] : ''; 

$pdo  = new PDO("mysql:dbname=db;host=localhost", "username", "password", $options); 
$statement = $pdo->prepare("SELECT * FROM comment WHERE blog_post_id = ?"); 
$statement->execute([$blog_post_id]); 
$results = $statement->fetchAll(PDO::FETCH_ASSOC); 

$json = array(); 

if (count($results) > 0) { 
    foreach ($results as $row) { 
     $json[] = array(
      'id' => $row['blog_post_id'], 
      'Field' => $row['Column'], 
      'AnotherField' => $row['AnotherColumn'], 
      'AnotherField1' => $row['AnotherColumn1'], 
      'ETC' => $row['AnotherColumnName'] 
     ); 
    } 

    echo json_encode($json); 
} else { 

    echo "no data found"; 
} 

?> 

Answer 2

あなたがそうのような変数バインディングを実行する必要があります。

$pdo=new PDO("mysql:dbname=db;host=localhost","username","password", $options); 
$statement=$pdo->prepare("SELECT * FROM comment WHERE blog_post_id = :blog_post_id"); 
$statement->execute(['blog_post_id' => $blog_post_id]); 

これにより、ここで説明する第1レベルのSQLインジェクションも防止されます。Are PDO prepared statements sufficient to prevent SQL injection?