A 回答 (5件)
- 最新から表示
- 回答順に表示
No.5
- 回答日時:
バインドする必要のあるパラメーターがない、
bindParam()やbindValue()によってパラメーターがバインドされている
時は、引数は用いません。
実行時点でパラメーターをバインドする時は、引数を用います。
リファレンスを読むクセをつけましょう。
https://www.php.net/manual/ja/pdostatement.execu …
No.4
- 回答日時:
他の方の回答に、ユーザー入力が絡まない場合はqueryでいいかのような表現をされていますが、受け取り方では違います。
DBから見たユーザーとは、PHPになります。
つまり、PHPのロジックで、不定な値を利用してDB問い合わせをするときは、queryは好ましくありません。
つまり、DBから見たら、何も入力値はブラウザから来るとは限らないということです。
queryで構わないパターンは、完全に定まった文字列のクエリを発行する時だけです。
何らかの起因によってSQLインジェクションを及ぼす可能性があります。
よって、プレースホルダーがあろうがなかろうが、常にprepare、executeを利用しましょう。
不要なシーンもありえますが、楽しようとして悪いクセをつけてしまわないように。
No.3
- 回答日時:
ユーザーが入力した値を使ってSQLを実行する場合は、prepareとexecuteを使ってプレースホルダーの機能で入力値をSQLに埋め込みます。
ユーザーが入力した値を使わないクエリーはqueryでいいです。
不正アクセスとかが無かった大昔に書かれた本だと、ユーザーが入力した値をプレースホルダーを使わずにSQLに埋め込んでいるサンプルが書かれてたりしますが、今そんなことをしたらあっという間に不正アクセスされてしまいます。
No.2
- 回答日時:
queryはselect文等でよく使われるようです
prepareはinsert文など複数件のクエリを処理する場合にパフォーマンスが良いのだそうです
executeは
prepareでステートメント準備後にexecute(実行)するという事ですね
PHPのリファレンスを見ると以下の様にあります
---
PDO::query() は、一回の関数コールの中で SQL ステートメントを実行し、このステートメントにより返された 結果セット (ある場合) を PDOStatement オブジェクトとして返します。
複数回発行する必要があるステートメントの場合、 PDO::prepare() で PDOStatement ステートメントを準備し、 PDOStatement::execute() でそのステートメントを 複数回発行する方がより良いパフォーマンスを得られると実感するでしょう。
異なるパラメータを用いて複数回実行されるような文に対し PDO::prepare() と PDOStatement::execute() をコールすることで、 ドライバがクライアントまたはサーバー側にクエリプランやメタ情報を キャッシュさせるよう調整するため、 アプリケーションのパフォーマンスを最適化します。また、 パラメータに手動でクオートする必要がなくなるので SQL インジェクション攻撃から保護する助けになります。
---
https://www.php.net/manual/ja/pdo.query.php
以上、ご参考まで
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- MySQL SQL任意に並び替えをしたい 2 2023/08/28 10:47
- PHP php my adminより取り出したデータ表示 2 2022/06/15 11:56
- PHP ここで言う「アロー演算子」の役割を教えてください。 1 2022/03/26 02:38
- PHP 【PHP/MySQL】コード上で生成したクエリを基に集計クエリを作りたい 1 2022/07/28 15:06
- PHP PHP一覧表示した項目にリンクをはりたい 1 2023/07/12 17:08
- PHP Q&Aサイトを作成していてURLの生成方法について迷っているのでアドバイスお願い致します 1 2023/08/10 16:42
- PostgreSQL 画像とカテゴリーを出力したいのですが、取得の条件を付ける方法がわかりません。 2 2022/05/01 18:03
- PHP DBのハッシュ化したパスワードをpassword_verifyで戻し照合したのですが上手く行きません 2 2023/02/06 13:24
- PHP 重複を防ぐ記述について教えて下さい。 3 2023/04/03 14:35
- PHP クエリObjectをforeachで回す時に、次のレコードへ移動せずに次のレコードを取得したい 2 2022/07/28 15:29
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ヒアドキュメントの中で演算子...
-
mysql複数レコードをまとめて削...
-
サイトからPHPでlinuxサーバー...
-
copy() で属性保存
-
PHPのsystem()でjava
-
[php初心者]サイトを見てデータ...
-
onedrive にexcelファイルをア...
-
別ファイルの変数を呼び出した...
-
CFileDialogの最初のディレクト...
-
フォントの色を変えるには?
-
トランザクションが原因?DBに...
-
php文字列中のシングルクオート...
-
3つ以上の論理積は利用可能なの...
-
ファイル選択ダイアログで選択...
-
バッチを用いたフォルダの自動移動
-
PHP MySQLに画像を直接保存
-
phpの中でphpを書けないか
-
PHPからMSSQLへの接続結果の文...
-
PHPでネットワークドライブのop...
-
phpにcssを適応させたい...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
mysql複数レコードをまとめて削...
-
php実行中に実行中のphpファイ...
-
phpからエクセルのマクロを実行...
-
ヒアドキュメントの中で演算子...
-
PHPからバッチファイルの実行
-
PHPのコマンドをnobodyオーナで...
-
copy() で属性保存
-
$argv[1]) && $argv[1]・同じ
-
PHPで外部プログラムのバックグ...
-
Prompt入力値をphp変数として取...
-
PHPでサーバーにインストールさ...
-
PHPで、C#のプログラムを実行す...
-
query、prepare、executeの違い
-
require_onceが動いていない
-
現在、レンタルサーバ(コアサー...
-
IIS + PHP からのWindowsコマン...
-
phpスクリプトのみで定期実行
-
【PHP】命令は記述順に処理...
-
PHP(Windows)でコマンド実行
-
PHPでコマンドプロンプトを実行...
おすすめ情報
回答ありがとうございます。executeメソッドを引数なしで使う場合と、
引数として配列を入れる場合の違いは何ですか?
回答ありがとうございます。execute()メソッドの引数として配列を入れるのはプレースホルダに値をバインドする場合(SQL文に?を使う)ということで合っていますか?