質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

1回答

638閲覧

$wpdb->prepare() でアポストロフィーを除外する方法

hana_hana

総合スコア27

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

1クリップ

投稿2020/12/17 13:39

編集2020/12/17 13:41

###実現したいこと
$wpdb->prepare()を使って独自テーブルを更新したいのですが、アポストロフィーが勝手に入ってしまいエラーとなります。
勝手に入らないようにしたいのですが、どのようにすべきでしょうか?

###発生している問題・エラーメッセージ

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''vote_count' = 'vote_count' + 1 WHERE ID = 111' at line 2

###該当のソースコード

php

1$target_id = 111; // 実際は動的に変化します 2$col = 'vote_count'; // 実際は動的に変化します 3$query = "UPDATE wp_test SET %s = %s + 1 WHERE ID = %d;"; 4$prepares = [$col,$col,$target_id]; 5$rows = $wpdb->get_results($wpdb->prepare($query, ...$prepares ));

試したこと

上記エラーで実行されるSQLを$wpdb->last_errorで確認すると以下でした。

sql

1UPDATE wp_test 2SET 'vote_count' = 'vote_count' + 1 3WHERE ID = 111;

そこでエラーを参考に、下記SQLをphpMyAdminから実行すると更新できました。
そのためアポストロフィーが余計だというエラーメッセージを解消すればいいと考えています。

sql

1UPDATE wp_test 2SET vote_count = vote_count + 1 3WHERE ID = 111;

しかし公式リファレンスを見ると$wpdb->prepare()で文字列の置換は%sしかないようで、これは勝手にアポストロフィーがつくことを回避できないように見受けられます。

またこちらのQAサイトによれば、「表名と列名にprepareが使えない」とのことですが、これは事実でしょうか?

もしこれが事実でなく、アポストロフィーを除外する方法があれば知りたいのですが…

別の方向からの解決策でも構いませんので、どなたかアドバイス頂けましたら幸いです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

それがwpdbのprepareです、値を確実に数値・文字列として扱い
SQL句として評価されることがないようにして
SQLインジェクションを防ぐのがwpdbのprepareです

テーブル名やカラム名が動的に変化するというのでは
プレースホルダーに落とし込むことができません

テーブル名やカラム名を動的にしつつセキュアにしようとするならば
当該部分には有効なテーブル名やカラム名のみ受け付けるようにするなどして
SQL文を生成する処理を別途書く必要があります

投稿2020/12/17 15:25

KazuhiroHatano

総合スコア7819

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hana_hana

2020/12/17 16:14

なるほど。どうもありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問