ウォッチ
A 回答 (5件)
- 最新から表示
- 回答順に表示
No.5
- 回答日時:
バインドする必要のあるパラメーターがない、
bindParam()やbindValue()によってパラメーターがバインドされている
時は、引数は用いません。
実行時点でパラメーターをバインドする時は、引数を用います。
リファレンスを読むクセをつけましょう。
https://www.php.net/manual/ja/pdostatement.execu …
-
-
- 0
- 件
-
No.4
- 回答日時:
他の方の回答に、ユーザー入力が絡まない場合はqueryでいいかのような表現をされていますが、受け取り方では違います。
DBから見たユーザーとは、PHPになります。
つまり、PHPのロジックで、不定な値を利用してDB問い合わせをするときは、queryは好ましくありません。
つまり、DBから見たら、何も入力値はブラウザから来るとは限らないということです。
queryで構わないパターンは、完全に定まった文字列のクエリを発行する時だけです。
何らかの起因によってSQLインジェクションを及ぼす可能性があります。
よって、プレースホルダーがあろうがなかろうが、常にprepare、executeを利用しましょう。
不要なシーンもありえますが、楽しようとして悪いクセをつけてしまわないように。
-
-
- 0
- 件
-
No.3
- 回答日時:
ユーザーが入力した値を使ってSQLを実行する場合は、prepareとexecuteを使ってプレースホルダーの機能で入力値をSQLに埋め込みます。
ユーザーが入力した値を使わないクエリーはqueryでいいです。
不正アクセスとかが無かった大昔に書かれた本だと、ユーザーが入力した値をプレースホルダーを使わずにSQLに埋め込んでいるサンプルが書かれてたりしますが、今そんなことをしたらあっという間に不正アクセスされてしまいます。
-
-
- 0
- 件
-
No.2
- 回答日時:
queryはselect文等でよく使われるようです
prepareはinsert文など複数件のクエリを処理する場合にパフォーマンスが良いのだそうです
executeは
prepareでステートメント準備後にexecute(実行)するという事ですね
PHPのリファレンスを見ると以下の様にあります
---
PDO::query() は、一回の関数コールの中で SQL ステートメントを実行し、このステートメントにより返された 結果セット (ある場合) を PDOStatement オブジェクトとして返します。
複数回発行する必要があるステートメントの場合、 PDO::prepare() で PDOStatement ステートメントを準備し、 PDOStatement::execute() でそのステートメントを 複数回発行する方がより良いパフォーマンスを得られると実感するでしょう。
異なるパラメータを用いて複数回実行されるような文に対し PDO::prepare() と PDOStatement::execute() をコールすることで、 ドライバがクライアントまたはサーバー側にクエリプランやメタ情報を キャッシュさせるよう調整するため、 アプリケーションのパフォーマンスを最適化します。また、 パラメータに手動でクオートする必要がなくなるので SQL インジェクション攻撃から保護する助けになります。
---
https://www.php.net/manual/ja/pdo.query.php
以上、ご参考まで
-
-
- 0
- 件
-
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
MySQLでのdeadlockをPHPで検出...
-
サーバの作業の流れで質問です。
-
system()でssh命令文の実行結果...
-
phpスクリプトのみで定期実行
-
JSのWINOW.CONFI...
-
PHPからlhaコマンドを使いたい
-
PHPで、C#のプログラムを実行す...
-
Prompt入力値をphp変数として取...
-
phpからエクセルのマクロを実行...
-
Switch文における、returnとbre...
-
mysql_queryの処理速度が遅い
-
PHPパーミッションについて
-
PHP5で名前空間を取り扱う
-
phpのheader("Location:#pos")...
-
*.php、*.php3、*.phtmlの違い
-
Warning: Invalid argument sup...
-
データ送信をボタンを押さずに...
-
拡張子php画像をjpg画像等に変...
-
zip圧縮の種類について
-
asp.netのクラスについて
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
シェルスクリプトをPHPで動かそ...
-
mysql複数レコードをまとめて削...
-
copy() で属性保存
-
require_onceが動いていない
-
php実行中に実行中のphpファイ...
-
サーバの作業の流れで質問です。
-
コマンドラインの生成でParse e...
-
system()でssh命令文の実行結果...
-
phpからエクセルのマクロを実行...
-
Prompt入力値をphp変数として取...
-
PHPからlhaコマンドを使いたい
-
PHPにてC言語プログラムを呼び...
-
一時停止のコマンドはありますか?
-
社内LANで複数台のPCからApache...
-
execからのls grepコマンドにつ...
-
ヒアドキュメントの中で演算子...
-
httpdのプロセスが自動で消えな...
-
PHPファイルの暗号化(難読化)...
-
コマンドライン実行でDBにアク...
-
phpの実行ユーザーは設定できま...
おすすめ情報
回答ありがとうございます。executeメソッドを引数なしで使う場合と、
引数として配列を入れる場合の違いは何ですか?
回答ありがとうございます。execute()メソッドの引数として配列を入れるのはプレースホルダに値をバインドする場合(SQL文に?を使う)ということで合っていますか?