phpとSQLを使いprepareでデータベースから検索結果の一覧を表示する方法を教えてください。

phpの学習での疑問点について質問をお願いいたします。

以下の構文は、SQLを使いデーターベースから、＄searchを含むデータ一覧を表示するプログラムです。ただしqueryで扱っており、安全性が低いのでprepareを使った構文に直したいと思います。

<?php
	try {
		$db = new PDO('mysql:dbname=mydb;host=127.0.0.1;charset=utf8', 'root','');
	} catch (PDOExcepption $e) {
		echo 'DB接続エラー: ' . $e->getMessage();
	}

	$search = "a";//検索する文字

	$memos = $db->query('SELECT * FROM memos WHERE memo LIKE "%' . $search . '%" ');
?>

<article>
	<?php while ( $memo = $memos->fetch()): ?>
	<p><?php print($memo['memo']); ?></p>
	<time><?php print($memo['created_at']); ?></time>
	<hr>
<?php endwhile; ?>
</article>

以下のようにprepareを使って直しました。

<?php
	try {
		$db = new PDO('mysql:dbname=mydb;host=127.0.0.1;charset=utf8', 'root','');
	} catch (PDOExcepption $e) {
		echo 'DB接続エラー: ' . $e->getMessage();
	}

	$search = "a";//検索する文字

	$memos = $db->prepare('SELECT * FROM memos WHERE memo LIKE "%' . ? . '%" ');
	$memos->execute(array($search));
?>
<article>
	<?php while ( $memo = $memos->fetch()): ?>
	<p><?php print($memo['memo']); ?></p>
	<time><?php print($memo['created_at']); ?></time>
	<hr>
<?php endwhile; ?>
</article>

しかし、以下のようなエラーが発生します。

Parse error: syntax error, unexpected token "?" in C:\xampp\htdocs\memo\index2.php on line 30

prepareで書き換えるには、どのようにすればよいのでしょうか？よろしくお願いいたします。

m.ts10806

2021/07/17 04:33

調べても何も出ませんか？

行動規範の内容に同意します

回答1件

ベストアンサー

PHPからデータベースを扱う際の基本的な諸々が抜けてる気がするので下記のような記事で全体からやってください（文字列の扱いという点ではデータベース以前の問題）。

PHPでデータベースに接続するときのまとめ

あらかじめ読んでおきたい記事　など併せて確認しておくとおおよそ隙はなくなります。

投稿2021/07/17 04:37

m.ts10806

総合スコア80875

taka_php

2021/07/17 05:31

回答ありがとうございます。質問したい部分だけを切り抜いたコードなのでいろいろ端折っております。調べても、変数を入れるやり方は出てこなかったので質問させていただきました。

m.ts10806

2021/07/17 05:37

何をどう調べて出てこなかったのか書かれてないので誰にも分かりませんが、質問者さんがやりたいことやるべきことは提示した記事に全部書いてあります。「変数を入れる」のではなく「SQL文字列に埋め込んだパラメータに対して値をバインドする」のがプリペアドステートメントの役割です。 PHP以外の言語でも同じです。

taka_php

2021/07/17 06:39

どう調べたかも次からは質問文に入れるようにします。まずは,SLQに直接変数やポストで受け取った変数などを入れる使い方は文法的に間違いということが分かりました。また、これを仮に表示させるとしたら、executeに書けばいいのですね。良いサイトを教えていただいて大変助かりました。ありがとうございます。 $memos = $db->prepare('SELECT * FROM memos WHERE memo LIKE ?'); $memos->execute(array("%". $search."%"));

m.ts10806

2021/07/17 07:07

質問は編集できますので、指摘都度追記されるので良いと思います。また、execでそのまま入れるよりbindValue使われたほうがより厳密です（型もチェックできる。これは提示した記事にも言及されてたはず）変数が保持してるのは結局文字列なりの情報なのでそこが問題ではないと思います。 SQLインジェクションはユーザー入力をそのままSQL文として組み込むことで起こりうる脆弱性です。仰っている「変数」が何を指しているのか不明ですが、POSTについては仰るとおりです。適切にSQLとしてエスケープする必要があります。私としてはtry-catchが接続時にしかないのも気にはなりますけどね。動的な情報が介入する実行時こそ必要な対応です。

行動規範の内容に同意します