PHP から SQLite3 の DB に変数の値を INSERT したい

PHP から SQLite3 のデータベースへデータを格納したいと考えています。

下記のコードで DB 接続と TABLE 作成のところまでは上手く行きました。

DB に変数の値を INSERT しようとしているのですが、実行後の DB の中を覗くとデータが入っておらず空っぽの状態でした。

Ｑ１．VALUES の値に変数をそのまま使うことはできないのでしょうか？
（VALUES に直接テキスト（今回の例なら'人間失格'、'太宰治'）を入れたら上手く行きました）

Ｑ２. VALUES の値に変数を使いたい場合は、なにか他に上手い方法があるのでしょうか？

初歩的な質問で大変恐縮ではありますが、よろしくお願いします。

PHP
1<?php
2// 変数定義
3$title = "人間失格";
4$author = "太宰治";
5
6// DB接続
7$db = new SQLite3("./booklist.db");
8
9// TABLE 作成
10$db->exec("CREATE TABLE booklist (title text, author text)");
11
12// DBに変数をINSERT
13$db->query("INSERT INTO booklist (title, author) VALUES ($title, $author)");

行動規範の内容に同意します

回答2件

ベストアンサー

とりあえずはこれで解決できます．

php
1$db->query("INSERT INTO booklist (title, author) VALUES ($title, $author)");

↓

php
1$db->query("INSERT INTO booklist (title, author) VALUES ('$title', '$author')");

今回のように入力がプログラマによって用意される場合はこれで問題はありませんが，もしユーザによって用意される場合には絶対にこんなコードを書いてはいけません．

SQLインジェクション

正しいやり方はこうです．

php
1$stmt = $db->prepare("INSERT INTO booklist (title, author) VALUES (?, ?)");
2$stmt->bindValue(1, '人間失格', SQLITE3_TEXT);
3$stmt->bindValue(2, '太宰治', SQLITE3_TEXT);
4$stmt->execute();

蛇足ですが，一般的にはSQLite3専用クラス群ではなくPDOクラス群を使うことが推奨されます．SQLite3にベットリなコードを書いてしまうと，「MySQLに乗り換えたいな」「PostgreSQLに乗り換えたいな」というときに困りますし，各データベースごとにクラスの使い方をバラバラに覚える必要がある点でも無駄があります．

投稿2016/06/11 13:24

編集2016/06/11 13:27

mpyw

総合スコア5223

TsuyoshiOshima

2016/06/11 14:38

ご回答ありがとうございます。シングルクォーテーションを付けたことで無事動きました。こんな簡単なことを見逃してしまっていた自分が恥ずかしいです。 SQLインジェクションとPDOについてもご紹介、ありがとうございました。さっそく調べてみたいと思います。まだまだ覚えることがたくさんありますが、コツコツと勉強していきたいと思います。今回はありがとうございました。

行動規範の内容に同意します