Q&A
デバッグ等で確認したい場合は自作しなければならないのですね。
$results=DB::select('select * from users where id=?',['1']);
という実装の場合に、
文字列で「select * from users where id=1」のような実行SQLを取得する方法はありますか?
ある場合、DB::insertやDB::updateも同じ方法で取得できますか?
回答2件
0
すでに解決したことになっていますが、Laravelの場合だとEloquentを使っている場合であれば取得可能です。また、クエリビルダでも実行後であれば実行されたSQLが取得できます!
Eloquentの場合だと、getメソッドで取得してくる部分をtoSqlメソッドに切り替えることで実際に実行されるSQL文を取得することが出来ます。
例
User::where('id',1)->toSql();
実行後のクエリを見るためには、先にそのメソッドを実行する前に
DB::enableQueryLog();
を記述した上で、実行後にDB::getQueryLog()メソッドを利用することで、そのクエリの内容や、かかった時間等を取得することが可能です!
DB::enableQueryLog(); $results=DB::select('select * from users where id=?',['1']); dd(DB::getQueryLog());
投稿2016/02/06 02:59
編集2016/02/06 03:03
総合スコア2158
0
ベストアンサー
「select * from users where id=1」のような一本の文字列のSQL文は、処理のいかなる段階でも発生していません。それはRDBの中ででもです。
「select * from users where id=?」という未完成なSQL文がRDBに渡され、そのままコンパイルされ、その後に1というデータが渡されてコンパイル結果に適用されるという流れになります。
このような扱いをしているからこそSQLインジェクションが防げます。
「select * from users where id=1」という文字列がどこかで生成されているとしたら、それはとてもまずいことです。
投稿2016/02/05 00:46
総合スコア5570
その通りです。
あと、「未完成なSQL(プリペアドステートメントと呼びます)」自体がクエリビルダにどう構築されたかを確認したい場合は、RDB側のクエリログをとるのが有効です。
横からすみません、PHPは全く触ったことがなく聞きかじりの知識しかないので見当はずれかもしれないのですが…
PHP(PDO?)では、下記リンク先が言うところの「動的プレースホルダ」がデフォルトで有効(エミュレーションがON)なので、PHPアプリケーション側で「select * from users where id=1」というクエリを生成してDBに投げているのではと考えていたのですが、これは誤った認識でしょうか?(少なくとも設定によってはあり得るのかな、と思っていたのですが)
http://qiita.com/7968/items/7ddd59b94eb5a4fb6eaf
あー、動的プレースホルダ、その可能性がありますか。
動的プレースホルダ自体、ライブラリ側に考慮漏れがあると脆弱性ができてしまうので方式そのものがお薦めできない(だから回答中でも「とてもまずいこと」としています)やつなんですが、PDOがそうでしたね。
PDOと同じようになっているかどうかは、やはりRDB側のクエリログを読むことで確認できます。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/02/06 05:56