忍者ブログ
[PR]
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。



2017/03/27 21:42 |
PHP1-43:PHPでPDOつづき

前回の続き。

いよいよPDOのプリペアドステートメントを使用してみます。

pdo.php 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
    
    //PDO
        define('DB_DSN','mysql:host=localhost;dbname=testdb');
        define('DB_USERNAME','testuser');
        define('DB_PASSWORD','testpass');
        $db = new PDO(DB_DSN,DB_USERNAME,DB_PASSWORD);
    
    //引数
        $prepare_id=isset($_REQUEST['id'])?$_REQUEST['id']:1;
    
    //select文
        $sql='SELECT * FROM books where id = ? ';
    
    //プリペアドステートメント
        $prepare =$db->prepare($sql);
        $prepare->bindValue(1,$prepare_id,PDO::PARAM_INT);
    
    //実行
        $prepare->execute();
        $ret=$prepare->fetchAll();

まずSQLを作成する際、引数を入力するところを?にします。
次に$db->prepareとすることでプリペアドステートメントを準備し、bindValueで実際の引数を当て嵌めます。
さて本プログラムのポイントは、$prepare_idを一切エスケープしていないことです。
プリペアドステートメントを使用した場合、DB側でエスケープを行ってくれます
このエスケープは非常に強力で、まず滅多なことでは突破されません(それでも時折話題になる)

bindValueの第一引数の1は、一番目の?に対して変数を割り当てるという意味です。
SQL文に?を複数書いた場合は、bindValueを複数回実行してそれぞれの?に変数を割り当てる必要があります。
また、bindValueにおいて指定しているPDO::PARAM_INT等の定数は、パラメータの型を表します。
が、必須ではありませんし、指定して別の型を突っ込んでもエラーになるわけでもないので、いまいち存在理由がわかりません。

さてプリペアドステートメントは、検索条件が動的な場合の検索には向いていません。
先にSQLを準備して後からその中に変数を突っ込むという構造上、検索条件が変動する場合のSQL構築が面倒なのです。
まあとりあえず作ってみましょう。

pdo2.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php
    
    //PDO
        define('DB_DSN','mysql:host=localhost;dbname=testdb');
        define('DB_USERNAME','testuser');
        define('DB_PASSWORD','testpass');
        $db = new PDO(DB_DSN,DB_USERNAME,DB_PASSWORD);
    
    //プリペアドステートメント
        $sql='SELECT * FROM books';
        if(
               isset($_REQUEST['id'])
            || isset($_REQUEST['name'])
            || isset($_REQUEST['author'])
        ){
            $sql.=' where ';
            if(isset($_REQUEST['id']))    {$sql.=' id = :id and ';}
            if(isset($_REQUEST['name']))  {$sql.=' name like :name and ';}
            if(isset($_REQUEST['author'])){$sql.=' author like :author and ';}
            $sql=substr($sql,0,-4);
        }
    
    //バインド
        $prepare =$db->prepare($sql);
        if(isset($_REQUEST['id']))    {
            $prepare->bindValue(
                ':id', $_REQUEST['id'], PDO::PARAM_INT
            );
        }
        if(isset($_REQUEST['name']))  {
            $prepare->bindValue(
                ':name', '%'.$_REQUEST['name'].'%', PDO::PARAM_STR
            );
        }
        if(isset($_REQUEST['author'])){
            $prepare->bindValue(
                ':author', '%'.$_REQUEST['author'].'%', PDO::PARAM_STR
            );
        }
    
    //実行
        $prepare->execute();
        $ret=$prepare->fetchAll();

SQLを構築する部分とパラメータをバインドする部分、2箇所に対して条件分岐が必要となります。
少々見通しの悪いプログラムになってしまいました。

さて、今回は?ではなくid = :idというふうに指定しています。
その場合、bindValue(':id', 変数)と引数を指定することにより、':id'に対して変数を割り当てることができます。
=ではなくlikeで検索したい場合は、変数を%で挟めば大丈夫です。

以上がPDOの基本的な使い方となります。
あとは適当にマニュアル読んでください。


ところで昔の記事では、「無理に使う必要はないかもしれません」なんてことを書いているわけですが、忘れてください。
「可能な限り使用しなければなりません」に修正します。

 

PR


2009/01/08 12:22 | Comments(0) | TrackBack(0) | PHP

トラックバック

トラックバックURL:

コメント

コメントを投稿する






Vodafone絵文字 i-mode絵文字 Ezweb絵文字 (絵文字)



<<runkit_return_value_usedの返り値が微妙におかしい件 | HOME | PHP1-42:PHPでPDO>>
忍者ブログ[PR]