Q&A
コードやエラーはマークダウンのcode機能を利用してご提示ください。
https://teratail.com/questions/238564
下記sqlで変数によりand ab = ?を入れたり入れなかったりするsqlを作成しているのですが、
$i=1の場合、
select * from project where hide = 1,2 and ab = ?
とエラーとなるのですが、
DB::select($sql, [ $para0, $para1 ])以外で、
変数$para0と変数$para1を使って
select * from project where hide = 1 and ab = 2
するには、どうすればいいのでしょうか?
$para0=1;
$para1=2;
$sql = 'select * from project where hide = ?';
$para=$para0;
if ($i==1) {
$sql = $sql .' and ab = ?';
$para=$para.','.$para1;
}
DB::select($sql, [ $para ]);
回答1件
0
ベストアンサー
パラメータは配列内の値に1つにつき1つ当てられるので複数あるならその分の配列にしなければなりません。
「そう見える文字列」ではなく、きちんと配列を作ります。
今のコードを元にするならこうでしょうか。
php
1$param = []; 2 3$sql = 'select * from project where hide = ?'; 4$param[]=$para0; 5 6if ($i==1) { 7 $sql .= ' and ab = ?'; 8 $param[]=$para1; 9} 10DB::select($sql, $param);
※ただDB::select()がPDOと同じような仕様であればの話。実装が提示されてないので試しようがなく、これで出来るかは知りません。
投稿2021/10/01 21:49
総合スコア80875
回答ありがとうございました。
$param[]=$para0;
$param[]=$para1
ではエラーとなりました。
私のコードにはある終端がないようですが。
それにコード一部だけじゃどう書いてどういうエラーが出たのか全く分かりません。
phpフレームワークLaravelで作成していますが
$param = [];
$sql = 'select * from project where hide = ?';
$param[]=$para0;
if ($i==1) {
$sql .= ' and ab = ?';
$param[]=$para1;
}
DB::select($sql, $param);
ですとエラーがでませんが,
$param = [];
$sql = 'select * from project where hide = ?';
$param[]=$para0;
if ($i==1) {
$sql .= ' and ab = ?';
$param[]=$para1;
}
DB::select($sql, [$param]);
ですと
ErrorException
Array to string conversion
というエラーが出ます。
SQLインジェクション脆弱性対策より
DB::SQL値(SQL文、[パラメータ配列])
と記述されているものが多いのですが、
DB::SQL値(SQL文、パラメータ配列)でも
DB::SQL値(SQL文、[パラメータ配列])でも
SQLインジェクションを防ぐ対策として問題ないのでしょうか?
配列に配列重ねると階層が深くなるので値が取り出せません。
パラメータからバインドにしてる時点でエスケープが適切にされるのでSQLインジェクションは対策できています。
試しに直接値を入れたときとバインドしたときでSQLインジェクションが発生する値を入れて確かめてみて下さい
ありがとうございます。
おそらくLaravelよりもPHPの基本的なところの問題と思います。
というか、「SQL」というタグだけでLaravelに精通した人に見てもらうのは無理があります。PHPとLaravelのタグは必須ですよ。
あなたの回答
tips
プレビュー
