PHPのsql文の発行の際にprepareの引数にsql文を直接入れるか変数として入れるか

PHPで

php
1 $stmt = $dbh->prepare('SELECT * FROM hagoli');
2  $stmt->execute();

と

php
1$stmt ->"SELECT * FROM hagoli";
2 $stmt = $dbh->prepare($stmt);
3  $stmt->execute();

どちらの方がSQLインジェクション的に,安全性的に良いのでしょうか
実際、変数として扱うかどうかはデザインの好みによると思いますが
実際はどうなのでしょうか

退会済みユーザー

2020/08/27 13:55

示されている文例、どちらも変数をバインドしていないように見えます。もうちょっと丁寧に、動くサンプルコードを書いてください。

2020/08/27 14:35

提示コードのどこにもSQLインジェクションはありませんが。

行動規範の内容に同意します

回答2件

ベストアンサー

$stmt ->"SELECT * FROM hagoli"; で文法エラーになります。
たとえ、これを代入演算子で訂正したとして、
SQL文を固定の文字列で与えるだけなら、なんの差も付きません。

むしろ、POST受信やGET受信したパラメータを、
文字列連結などでSQL文に流し込むケースが問題になります。

投稿2020/08/27 14:18

退会済みユーザー

総合スコア0

2020/08/27 21:44

ありがとうございますサイトの方を拝見してみたらprepareの中にsql文を書いていましたので特に問題ないようですね！

行動規範の内容に同意します

どちらの方がSQLインジェクション的に,安全性的に良いのでしょうか

善悪の判断以前に、後者は文法的に成立していません。

（後者のようにSQL文だけを別「変数」に入れるメリットは特にないですが、やるとすればSQL文は$sqlに、PDOのステートメントは$stmtに、というように、同じ変数を別種の値で上書きせず勧めたほうがいいかと思います）

投稿2020/08/27 13:53

総合スコア145208

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問