ウォッチ
A 回答 (5件)
- 最新から表示
- 回答順に表示
No.5
- 回答日時:
バインドする必要のあるパラメーターがない、
bindParam()やbindValue()によってパラメーターがバインドされている
時は、引数は用いません。
実行時点でパラメーターをバインドする時は、引数を用います。
リファレンスを読むクセをつけましょう。
https://www.php.net/manual/ja/pdostatement.execu …
-
-
- 0
- 件
-
No.4
- 回答日時:
他の方の回答に、ユーザー入力が絡まない場合はqueryでいいかのような表現をされていますが、受け取り方では違います。
DBから見たユーザーとは、PHPになります。
つまり、PHPのロジックで、不定な値を利用してDB問い合わせをするときは、queryは好ましくありません。
つまり、DBから見たら、何も入力値はブラウザから来るとは限らないということです。
queryで構わないパターンは、完全に定まった文字列のクエリを発行する時だけです。
何らかの起因によってSQLインジェクションを及ぼす可能性があります。
よって、プレースホルダーがあろうがなかろうが、常にprepare、executeを利用しましょう。
不要なシーンもありえますが、楽しようとして悪いクセをつけてしまわないように。
-
-
- 0
- 件
-
No.3
- 回答日時:
ユーザーが入力した値を使ってSQLを実行する場合は、prepareとexecuteを使ってプレースホルダーの機能で入力値をSQLに埋め込みます。
ユーザーが入力した値を使わないクエリーはqueryでいいです。
不正アクセスとかが無かった大昔に書かれた本だと、ユーザーが入力した値をプレースホルダーを使わずにSQLに埋め込んでいるサンプルが書かれてたりしますが、今そんなことをしたらあっという間に不正アクセスされてしまいます。
-
-
- 0
- 件
-
No.2
- 回答日時:
queryはselect文等でよく使われるようです
prepareはinsert文など複数件のクエリを処理する場合にパフォーマンスが良いのだそうです
executeは
prepareでステートメント準備後にexecute(実行)するという事ですね
PHPのリファレンスを見ると以下の様にあります
---
PDO::query() は、一回の関数コールの中で SQL ステートメントを実行し、このステートメントにより返された 結果セット (ある場合) を PDOStatement オブジェクトとして返します。
複数回発行する必要があるステートメントの場合、 PDO::prepare() で PDOStatement ステートメントを準備し、 PDOStatement::execute() でそのステートメントを 複数回発行する方がより良いパフォーマンスを得られると実感するでしょう。
異なるパラメータを用いて複数回実行されるような文に対し PDO::prepare() と PDOStatement::execute() をコールすることで、 ドライバがクライアントまたはサーバー側にクエリプランやメタ情報を キャッシュさせるよう調整するため、 アプリケーションのパフォーマンスを最適化します。また、 パラメータに手動でクオートする必要がなくなるので SQL インジェクション攻撃から保護する助けになります。
---
https://www.php.net/manual/ja/pdo.query.php
以上、ご参考まで
-
-
- 0
- 件
-
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
php実行中に実行中のphpファイ...
-
mysql複数レコードをまとめて削...
-
現在、レンタルサーバ(コアサー...
-
Switch文における、returnとbre...
-
PHPでMysqlにデータがあるかど...
-
PHPのif文でその処理を途中で抜...
-
Subversionのリポジトリの削除
-
*.php、*.php3、*.phtmlの違い
-
FTPコマンドでディレクトリごと...
-
Cronで同じ処理を複数同時に実...
-
.phpと.incファイルの違いはな...
-
バッチを用いたフォルダの自動移動
-
ボタンのクリック数を合計保存...
-
visualstudioでc#のdllができない
-
PHPで画像アップロード時にサイ...
-
CakePHPのファイルの所有者の権...
-
error_reporting(0);にも関わら...
-
zip圧縮の種類について
-
「@$変数」の「@の意味は?」
-
ftpでアップロードが出来ない
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
mysql複数レコードをまとめて削...
-
if文が入れ子の場合の条件の解釈
-
PHPをPostgreSQLに接続するには?
-
httpdのプロセスが自動で消えな...
-
PHPでサーバーにインストールさ...
-
スクリプトを実行すると警告が...
-
Prompt入力値をphp変数として取...
-
プログラム単語のsetageとかのa...
-
PHPから環境変数'PATH'が使えない
-
Maximum execution time of 30 ...
-
あるphpから他のPHPプロ...
-
JSのWINOW.CONFI...
-
PHPからバッチファイルの実行
-
perl -e "print 'A';"
-
PHPからシェルスクリプトを実行
-
PHPからCRONの編集
-
PHPでコマンドプロンプトを実行...
-
ヒアドキュメントの中で演算子...
-
【PHP】命令は記述順に処理...
-
mod_phpで、rootしか実行できな...
おすすめ情報
回答ありがとうございます。executeメソッドを引数なしで使う場合と、
引数として配列を入れる場合の違いは何ですか?
回答ありがとうございます。execute()メソッドの引数として配列を入れるのはプレースホルダに値をバインドする場合(SQL文に?を使う)ということで合っていますか?