質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.37%

selectのWHEREで変数を使いたい

受付中

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 1,769

score 13

PHPでデータベースよりデータを取得しています。
取得時にフィルタをかけたいのですが、変数の囲み方がわかりません。

function getAll()
{
    $objPdo = connect();
    $statement = 'SELECT * FROM t_sale_den WHERE holiday=false and business_day like $hani%';
    $stmt = $objPdo->prepare($statement);
    $stmt->execute();
    return $stmt->fetchAll();
}


$haniの変数には日付が入っており、他の個所で下記のようにしたら正常に表示されます。
(〇年〇月が取得され一覧で表示されます。)

上記コードのシングルクォートをダブルクォートにするとエラーが出るので、$statement内の$haniを何かで囲むのかと思うのですが、さっぱりわかりません。

$sql = "SELECT * FROM t_sale_den WHERE holiday=false and business_day like '$hani%'";

どなたかご教授をお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • Orlofsky

    2019/08/10 21:21

    CREATE TABLE くらい提示できたほうが適切なコメントが付き易いです。

    キャンセル

  • 退会済みユーザー

    退会済みユーザー

    2019/08/10 21:27

    そういう問題じゃねぇと、おら、思うぞ。

    キャンセル

  • maisumakun

    2019/08/11 07:50

    business_dayの列の型は何でしょうか?

    キャンセル

  • m.ts10806

    2019/08/11 09:20

    念のため「$hani」の内容を例示してください。
    $haniを渡すようにするだけなら簡単ではありますが、その前に確認すること(その変数がどこからどうやってくるものなのか、t_sale_den のテーブル定義など)とその先本来やるべきことが沢山あるように思います。

    キャンセル

回答 2

+2

PHP で MySQL 接続時に必要な知識(最小限版)

LIKE はチョットめんどいですよ

以下、追記

まだクローズされていないので追記しておきます。

selectのWHEREで変数を使いたい

質問は「SELECT の WHERE のリテラルを変数として使いたい」と読み替えることができます。

リテラルを変数で表現するには、プリペアドステートメントを使用し、クエリの構文とデータを分離し、構文を改変できないようにした上で、データをバインドする方法が推奨されてます。

質問では、せっかく prepare() を使用しているにも関わらず、適切なプリペアードステートメントが記述でされていません。変数を SQL 文に埋め込んでいるため、構文の改変を許してしまっています。

正しい記述方法に関しては、PHP で MySQL 接続時に必要な知識(最小限版)を参照してください。

(余談:プリペアードステートメントで記述したクエリが DB でどの様にあつかわれるかは、「13.5 準備済みステートメントのための SQL 構文 - dev.mysql.com」の1番目のサンプルを見ておくと、イメージしやすいと思います。)

また、LIKE に関しても注意が必要です。
プリペアードステートメントを使用したデータバインドでは、エスケープやクオートは自動で判断されますが、ワイルドカード文字はその対象ではないため、自前でエスケープを記述する必要があります。
ワイルドカード文字はデータベースによって違いがあるため、データベースのマニュアルで必要な文字を確認しエスケープしてください。

本件が MySQL であれば、後方のみで使用しているので
bindValue(1, addcslashes($hani, '\_%') . '%', PDO::PARAM_STR);
のような記述になります。

エスケープが正しく行われていない場合、例えば $hani に「%01」のような値が突っ込まれると「%01%」をバインドしてしまい、意図した内容ではない検索が行われます。
DB 処理では、製作者の意図しない挙動を制限する必要があるのでワイルドカード文字に対してのエスケープは必須です。

参考記事で紹介している範囲は php でデータベース接続を扱うため必要なの最小限の知識なので、もっと詳しく説明している「PHPでデータベースに接続するときのまとめ」も併せて読むと良いです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/08/11 09:49 編集

    te2ji は相手の文章を全く読まずに妄想で答えるから

    >それでよう、おめぇ、これ実行したらどうなると思う?

    こう書いている物を、その言葉の意味合いも考えずに、SQLインジェクションが必ず起こる前提の文章だと勝手に解釈して勝手に勝ち誇ってるし、

    >あとな、PHPで“そのコードの場合”、

    って書いてる物を、その言葉の意味合いも考えずに、プレースホルダ使わねぇ前提の文章だと勝手に解釈して勝手に勝ち誇ってるし、

    まぁ、端的に言うとな、te2ji は、頭が悪過ぎんだ。
    1つ1つの言葉について、裏側に何を込めているのか全く洞察できねぇ。

    確か te2ji は昔っからずっとおんなじ事やってるよな、
    hentaimanとかいう奴もそうだったな。

    te2ji はさ、多分、作業工みてぇな仕事しかやらされてもらえねぇだろ。
    それじゃ、折衝の現場は無理だ。

    キャンセル

  • 2019/08/11 09:50

    もっというと、te2ji では、新人の教育は絶対に無理だな。

    自分のペースで勝手に歩いてるだけだから。

    キャンセル

  • 2019/08/11 09:54 編集

    だからさ、もう一回言っとくぞ。

    今回の質問には「ワイルドカードがどうした」とか「LIKEがどうした」とか、全く関係ねぇ。
    プリペアドステートメントと値のバインドについても、全く関係ねぇ。

    te2ji の自己満足で、質問者の足をひっぱるのは止めとけ。

    キャンセル

-3

おす!

SQLの場合、数値以外の値はシングルクオートで囲むんだ。DBによって何で囲むべきか変わるからな。

それでよう、おめぇ、これ実行したらどうなると思う?

$hani = "'; DELETE FROM t_sale_den WHERE holiday IS NOT NULL; --";
$sql = "SELECT * FROM t_sale_den WHERE holiday=false and business_day like '$hani%'";

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/08/11 09:24

    > SQLの場合、数値以外の値はシングルクオートで囲むんだ。DBによって何で囲むべきか変わるからな。

    この前提って、直接変数を埋め込むって方向を向いたときにのみ有効なですよね?プリペアードステートメントを使用した場合、ミスリードになります。バインドを使用する場合、シングルクオートは必要ないです。

    キャンセル

  • 2019/08/11 09:25

    まだ、質問者に聞かれてる事と、全く関係ねぇってわかんねぇのか? おめぇ。
    そりゃ、あたまのびょーきだ。

    キャンセル

  • 2019/08/11 09:25

    質問者「自転車がパンクしてしまったんですが、修理の方法を教えて下さい」
    te2ji「自動車に乗ってください。そう簡単にパンクなんかしません」

    あたまおかしいだろ。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.37%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る