Q.$resultはインジェクションとはあまり関係ないような気がします。 $wpdb->prepare(SQL文,PHP変数)がインジェクション対策と思ってくださればいいと思います。 このSQL文にはPHP変数を直接記述せず、かわりに%dや%sと記述すること。 そうすることで%dや%sの箇所に、PHP変数をその型に合わせて安全に置きかえてくれる、というものです。 A.なるほど理解できました。ありがとうございます。 $resultで各コンテンツのテーブルを開いて、$resultでまとめて出力することでインジェクション対策を行うものだと思っておりました。例文で説明いただき助かりました。 Q.それを安全にする方法が以下のような記述になります。 $sql = "SELECT * FROM {$wpdb->posts} WHERE post_title = %s"; $query = $wpdb->prepare($sql, $search_text); $results = $wpdb->get_results($query); こうすることで問題のある文字が入力されたとしても、$wpdb->prepare()が安全なSQL文にしてくれます。 A.%Sは出力するものだという認識だったのですが、セキュリティ対策だったのですね。 Q.SQL文を調整する必要がありそうです。 実行と言うのはPHPからではなく、phpMyAdminなどでの実行です。 変数のところは間違いのないように書きかえてから実行してください。 とりあえずPHPでechoしてブラウザで確認してください。 SELECT DISTINCT post_id FROM wp_postmeta INNER JOIN wp_posts ON post_id = ID WHERE wp_postmeta.meta_key= 'あ' IN ('single_rss_feed1') AND post_status = 'publish' A.確認してみたところ何も表示されませんでした。meta_key＝が正しいですね初めに%Sが検索ワードだと思っていたためカスタムフィールド名の検索 ということでmeta_key＝％S IN(カスタムフィールド名)としていました。 Q.直すべきと思うのは、meta_keyの条件で、以下のどちらかになると思います。 WHERE wp_postmeta.meta_key='single_rss_feed1' WHERE wp_postmeta.meta_key IN ('single_rss_feed1') A.<?php $results = $wpdb->get_results($wpdb->prepare(" SELECT DISTINCT post_id FROM $wpdb->postmeta INNER JOIN $wpdb->posts ON post_id = ID WHERE {$wpdb->postmeta}.meta_key='single_rss_feed1' AND post_status = 'publish'", "%%投稿%%")); ?> 上記のように変更したところ表示されました。ありがとうございます。 Q.全体だとこんな感じです。 SELECT DISTINCT post_id FROM wp_postmeta INNER JOIN wp_posts ON post_id = ID WHERE wp_postmeta.meta_key IN ('single_rss_feed1') AND post_status = 'publish' AND (wp_posts.post_content LIKE 'あ' OR wp_posts.post_title LIKE 'あ' OR wp_posts.post_excerpt LIKE 'あ') これで結果を確認して、大丈夫でしたら、それをPHPのコードに組み込んでください。 %sの数だけ、$wpdb->prepare()のパラメータが必要ですので忘れないようにしてください。 サンプルコードとして記載はしますが、必ず上記のことをSQL実行して確認してください。 このまま貼り付けてなにかあってもSQL文に問題があるのか、PHPコードに問題があるのかわからないので、SQLは確実に問題がないことを確認しておいて欲しいからです。 SQL文の実行を１行の実行命令で書くと見づらいと思いますし、途中経過を確認しづらいので、それぞれ分けています。 A.$sqlを試したところエラー文が表示され原因がわかりました。画像では文字が小さかったのでエラー文をコピペしました。 phpで実行したところ問題なく表示されているようですが、なぜかphp my adminではエラーとなっており原因がわかりませんでした。 https://imgur.com/BbUkmqn.jpg ※エラー文 https://imgur.com/fmzLqhN.jpg　※SQL入力コード https://imgur.com/Xh1PI4q.jpg ※サイト表示画面 解析中に 16 個のエラーが見つかりました。 予期しない文字。 (near "{" at position 30) 予期しない文字。 (near "}" at position 46) 予期しない文字。 (near "{" at position 59) 予期しない文字。 (near "}" at position 72) 予期しない文字。 (near "{" at position 97) 予期しない文字。 (near "}" at position 113) 予期しない文字。 (near "{" at position 179) 予期しない文字。 (near "}" at position 192) 予期しない文字。 (near "{" at position 218) 予期しない文字。 (near "}" at position 231) 予期しない文字。 (near "{" at position 255) 予期しない文字。 (near "}" at position 268) 終端クォート " があるべきです。 (near "" at position 447) エイリアスが前に見つかっています。 (near "}" at position 46) 予期しないトークン。 (near "}" at position 46) エイリアスが前に見つかっています。 (near "}" at position 72) SQL クエリ: ドキュメント SELECT DISTINCT post_id FROM {$wpdb->postmeta} INNER JOIN {$wpdb->posts} ON post_id = ID WHERE {$wpdb->postmeta}.meta_key = 'single_rss_feed' AND post_status = 'publish' AND ({$wpdb->posts}.post_content LIKE %s OR {$wpdb->posts}.post_title LIKE %s OR {$wpdb->posts}.post_excerpt LIKE %s) "; echo $sql; $query = $wpdb->prepare($sql,"%$search_query%","%$search_query%","%$search_query%"); echo $query; $results = $wpdb->get_results($query); MySQL のメッセージ: ドキュメント #1064 - SQL構文エラーです。バージョンに対応するマニュアルを参照して正しい構文を確認してください。 : '->postmeta} INNER JOIN {$wpdb->posts} ON post_id = ID WHERE {$wpdb->postmeta...' 付近 2 行目

ありがとうございます。 現在出力してみたところ、検索条件にヒットした募集はありませんでした。と出ており、カスタムフィールドで絞り込む部分が間違っているのではないかと思っております。 やはり現在の方法では記事の取得はできないのでしょうか…

アドバイスありがとうございます。 Ajexでタグを作成していますが、とてもじゃないですが今の自分では一部の切り替えを出来る気がしません なので$wpdbを使って何とか検索ページを表示させていきたいのですが、どのように作れば良いのか仕組みがよくわかりません… 検索ページを作る場合、記事に何かしらの関数を渡して帰ってきたもので判断して一致したものを表示させるという形になるのでしょうか?

ありがとうございます。 $results を渡すだけでも動的ページの書き換えは不可能という認識でいいでしょうか? だとすると$wpdbでfront-page.phpと同じデザインを作るか、データベースで記事を格納して引き出しながら検索機能を実装する事になるのですが、データベースだとこれ以上重くなるのではないか不安です。どちらの方法を取るべきでしょうか? cronで軽くなることを考えると可能だとは思いますが。 また$wpdbで交互にRSSと記事を表示させることなど可能なのでしょうか?

//サーバーに対して指定したリソースを返すよう要求するファイル A.上記のものはsearch.php全体の説明ですね。わかりずらく申し訳ないです。 <?php //サイト内検索を行ったときのクエリ文字列を取得します ?> A.勉強になります。ありがとうございます。 <?php //不正なSQL文を実行することによりデータベースを不正に操作し攻撃する対策 //SELECT distinctにpost_idを指定することで重複データを除外しています （省略） ?> <?php $results = $wpdb->get_results($wpdb->prepare(" A.訂正ありがとうございます。 $wpdbで記事を出力していましたが、page-front.phpのような表示をしたい場合、データベースに記事を登録してそこから検索して出力させるほうが簡単な気がします。 アーカイブやタグにも使用する場合DBに格納して表示したほうがいいでしょうか？

ありがとうございます。表示することができました。 RSSについてなのですが投稿ページを作成してないので取得まで出来ていないようです。 先に検索欄を作成していきたいのですが、つまずいている点がありアドバイスお願いいたします。 元々のコードではセキュリティ対策として検索欄が未入力の際に返すようにしていたのですが、それだけでは不十分な気がしています。 下記サイトを参考に作成しました。ページングについて不安なのですが、作成済みのページナビと関連付けることは可能でしょうか？ search.phpとdouble-search.phpとtriple-search.phpでカスタムテンプレートを分けようと考えております。 初めは最近検索されたワードを設定するつもりでしたが、記事と結びつけることが難しくカスタムフィードごとの検索単体に作り替えております。 ※参考サイト https://oku-log.com/blog/wp-search/ https://lindsay.chunk.jp/wordpress_customize/freeword-search/ serch.php //サーバーに対して指定したリソースを返すよう要求するファイル <form method="get" class="single1-search" action="<?php echo esc_url( home_url( '/' ) ); ?>" >//トップページのURLを取得する、URLをエスケープした文字を返します <input type="hidden" name="post_type" value="post">//ユーザーに見えない隠しフィールドを設置する,valueは、カスタム投稿タイプ名のスラッグに置き換えてください。通常はpost？ //テキスト入力欄を生成 <input type="text" placeholder="<?php if(!is_search()){ echo 'テストから探す';} ?>" value="<?php if(is_search()){ echo get_search_query();} ?>" class="test-searchbody" name="s"> <button type="submit" class="test-searchbutton"></button> </form> <?php $search_query = get_search_query(); ?><--サイト内検索を行ったときのクエリ文字列を取得します--> <?php global $wpdb; ?><--データベースでSQL実行--> <?php $results = $wpdb->get_results($wpdb->prepare(" //不正なSQL文を実行することによりデータベースを不正に操作し攻撃する対策 SELECT DISTINCT post_id //SELECT distinctにpost_idを指定することで重複データを除外しています FROM $wpdb->postmeta INNER JOIN $wpdb->posts ON post_id = ID //$wpdbオブジェクトを利用して、postmetaテーブルのすべてのカラムを検索し、次の2つの条件を満たす行をオブジェクトの配列で取得 WHERE {$wpdb->postmeta}.meta_key IN ('single_rss_feed1') AND meta_value LIKE '{$search_word}'//すべてだとWHERE meta_value LIKE '{$search_word}' AND post_status = 'publish' //公開済みの場合はpublish "%$search_query%"));//もとはWHERE meta_value LIKE '%s'だったから%が必要？ ?> ______________________________________________________________ page-front.php <!--検索に使用されるページのセクションを識別するために使用,actionはリダイレクトさせたいページ？--> <form role="search" method="get" id="searchform" class="searchform" action="http://example.com/"> <div class="hole"> <div class="left"> <label class="screen-reader-text" for="s">キーワード検索</label> </div> <div class="right"> <input type="text" value="" name="s" id="s" placeholder="例）年齢不問"/> <button type="submit" id="searchsubmit"><i class="fa fa-search"></i> 検索</button> </div> </div> </form>

修正いただきありがとうございます。 エラーを解消することができました。 現在double_rss_feedとtriple_rss_feedのRSSが空で取得ができていない状態です。 single_rss_feedのtitleとimgでユニークキーを設定していたら重複していますというエラーが出ています。 昨日のエラー、テーブル名の変更が原因でしょうか？ //※テーブル名の変更 $stmt = $dbh->prepare($sql); $stmt->bindParam(1, $rss_offset, PDO::PARAM_INT); $stmt->bindParam(2, $rss_per_page, PDO::PARAM_INT); $stmt->execute(); $rss_items = $stmt->fetchAll(PDO::FETCH_OBJ); $group_per_block = 5; //ブロックあたり投稿グループ件数

修正いただきありがとうございます。 画像を表示することができました。 なぜtriple_rss_feedでRSSを取得できないのかわからなかったため一度データベースを削除して、接続の部分もDB_NAME、DB_PASSWORDを変更してみたところ、接続の時点で構文エラーが表示されました。 ※エラー文 Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '-26,26' at line 1 in wp-content/themes/sample_theme/front-page.php:184 Stack trace: ______________________________________________________________ 該当ファイルはfront-page.phpでエラーが起きている箇所は下記になります。$stmt->execute();でエラーが起きているのですが、考えられる原因はありますでしょうか？ //※テーブル名の変更 $stmt = $dbh->prepare($sql); $stmt->bindParam(1, $rss_offset, PDO::PARAM_INT); $stmt->bindParam(2, $rss_per_page, PDO::PARAM_INT); $stmt->execute(); $rss_items = $stmt->fetchAll(PDO::FETCH_OBJ); $group_per_block = 5; //ブロックあたり投稿グループ件数 title以外のキーが外れた状態で、single_rss_feedだけRSS取得できている状態です。 https://imgur.com/CdTKSUv.jpg

アドバイスありがとうございます。 コードは下記のものを修正したときに間違えがあったためタイムアップになっていたようです。 front-page.phpの$posts_per_page = $block_per_page * $group_per_block; //ページあたり投稿件数 5×2の10件画像は1なので$posts_per_group省略 コード修正の時にエラーではなくタイムアップが表示されるため同様に重たい状態ではあるようです。 front-page.phpで画像が表示されていないのですが原因がわかりません。以前は表示されていたので投稿ページのphpが作成されていないことが原因だとは考えにくいのですが… 確認お願いいたします。 echo "<li><a href=\"{$item->guid}\"><img src=\"{$item->thumbnail}\"></a></li>";echo "<li><img src=\"{$item->thumbnail}\"></li>"; page-third.phpのデータベースが機能しておらず格納されていないためpage-secound.phpと念のため比較していただきたいのですが、見たところコードの間違えはないようです。 最終的にレンタルサーバーのcronを使い取得と格納をcronに行ってもらい処理をもう一段階軽くすることも考えていますが、こちらは人気タグや検索欄やアーカイブなどが終わり、コメント欄の返信機能まで作り終えたあとに実装していく予定です。 人気タグと返信機能でデータベースを扱う可能性があるためそちらとまとめてcron化して自動取得をしてもらい、全体の処理を軽くする予定です。 https://wandbox.org/permlink/V1OvpuwqdyEsFwyc

回答ありがとうございます 一応、記事にテストと書き込んでいるのですが表示されておりません。 コードを再度確認中です