phpを用いてmysqlからSELECT文で引き出す際、phpの引数を使いたい

前提・実現したいこと

phpでmysqlからデータを引き出す際、where likeで条件指定するときにphpの引数を用いたい。
今回の例でいうと $IDmemo から1を参照させて、mysqlからID:1 Name:データ1 を引き出したい。

$IDmemo としているところを直接手打ちで[1]などとした場合引き出せることは確認しました。
初歩的な質問ですが、よろしくお願いします。

該当のソースコード

mysql
1データベース名:DataBox
2テーブル名:Test
3
4| ID| Name |Data1|  Data2 |
5| 1 |データ1|  91 |    134 |
6| 2 |データ2| 106 |    110 |
7| 3 |データ3| 100 |    100 |

php
1<?php
2
3$IDmemo = 1;
4
5mysqli_connect('localhost', 'root', 'password');
6
7mysqli_select_db('localhost', 'root', 'password','DataBox');
8
9mysqli_query
10('localhost', 'root', 'password', 'SELECT ID,Name FROM Test where id like $IDmemo');
11
12?>

行動規範の内容に同意します

回答2件

ベストアンサー

変数でも何でも、SQLに値をそのまま突っ込むのはSQLインジェクションの脆弱性があります。
あとlikeについては殆どの場合、前方一致キーワード%or後方一致%キーワードor部分一致%キーワード%で検索を行います。「どう一致させたいか」は仕様となりますので、ご自身で決めていただくとして、下記のような記事を読んだ上で、きちんと実装していきましょう。

PHPでデータベースに接続するときのまとめ

LIKE検索についても記載がありますが、いきなりそこを読むと？？？？？となると思いますので、上から順に設定部分からしっかりおさえていってください。

※大事なのはPHPからいきなり実装するのではなく、「直接DBに対して実行して想定の結果が得られるか確認できてからPHPで実装する」です。DBはPHPにとっては外部の仕組みなので、直接実行して想定通りの結果が得られないものは当然、ちゃんと動きません。
※直接実行して想定通りの結果が得られたのにPHPから・・・という場合は同じSQLが作れてないとか設定が間違っているとかそういった原因が考えられます

投稿2019/09/15 21:02