prepareとexecuteとqueryの使い分けについて

prepareとexecuteとqueryの使い分けについて教えてください。

PHPマニュアルを見ても全然理解できずです。

私の認識では、
prepareとexecuteはセットでINSERTするときに使うとおもっています。

$sql = "INSERT INTO user_data(・・・) VALUES (・・・)"
$stmt = $pdo->prepare($sql);
$stmt->execute([・・・]);

preparaでsql文をセットする。
そのセットしたsql文をexecuteでバインドしていく。
という認識で大丈夫でしょうか？

queryはSELECTするときに使うと思っています。

$sql = "SELECT id FROM user_data";
$stmt = $pdo->query($sql);

これはネットで見ている限りこういった使い方が多いから
こういうもんなんだなって思っています。

ただ、
こういうもんなんだなって思って使っていて、なぜそれを使わないといけないのか理解してないので

$sql = "INSERT INTO user_data(・・・) VALUES (・・・)"
$stmt = $pdo->query($sql);
$stmt->execute([・・・]);

とか

$sql = "SELECT id FROM user_data";
$stmt = $pdo->prepare($sql);

とかやったらどうなんだろう？ダメなの？なんで？

ってなっちゃいます。

分かりやすく解説頂けると助かります。
宜しくお願いします。

行動規範の内容に同意します

回答2件

ベストアンサー

prepareとexecuteはセットでINSERTするときに使うとおもっています。

INSERT, UPDATE, SELECT だからということではありません。
SQLに何らかの変数を割り当てしたいときに利用します。

変数の割り当てが必要ないときは query() を利用することもできます。

例えば、

php
1$sql = 'SELECT * FROM table WHERE id = ?';

php
1$sql = 'UPDATE table SET name = ? WHERE id = ?';

php
1$sql = 'INSERT INTO table VALUES (?, ?)';

そのセットしたsql文をexecuteでバインドしていく。

違います。あくまで execute は「実行する」という意味です。
引数に配列を渡したときにあくまで「便利機能」としてバインド「も」やってくれているということです。

投稿2016/06/23 06:24

退会済みユーザー

総合スコア0

earnest_gay

2016/06/23 06:37

回答ありがとうございます。 >> execute は「実行する」という意味です。 $sql = "SELECT id FROM user_data"; $stmt = $pdo->query($sql); これでも使えているのですが本来なら $sql = "SELECT id FROM user_data"; $stmt = $pdo->query($sql); $stmt = $pdo->execute($sql); という風にするのが正しいのでしょうか？

退会済みユーザー

2016/06/23 06:39

execute と query のいずれかを使うということです。 query() は execute()の変数割り当てなしバージョンです。そう書いているんだけど…。

earnest_gay

2016/06/23 06:41

理解できました！ありがとうございます！

earnest_gay

2016/06/23 07:14

execute は「便利機能」としてバインド「も」やってくれているということです。とのことですが、例えば下記をqueryだけでやろうとしたらどうなるのでしょうか？ $stmt = $pdo->prepare("INSERT INTO user_data(email, password) VALUES (?, ?)"); $stmt->execute([ $_SESSION['join1']['email'], password_hash($_SESSION['join1']['pw'],PASSWORD_DEFAULT) ]);

退会済みユーザー

2016/06/23 07:16

やってみればわかることではありません？

行動規範の内容に同意します

まず、
INSERTやUPDATEなどのSQL文の違いとprepareとexecuteとqueryの使い分けに関係はありません。

厳密には違う部分もありますが、
ごく大雑把に言うと

変数をSQL文に組み込む必要がある場合はprepareとexecuteを使う。
そのほかの場合でも基本的にprepareとexecuteを使えばOK。
固定SQLを実行する場合はqueryを使う

という感じになります。

理由は
プリペアードステートメントとは
で検索して下さいと言ってしまいたくなるのですが、

ざっと説明すると
プリペアードステートメントとはあらかじめ構文を固定化することで
与えられた変数を変数としてのみ評価することで高速に実行するという仕組みで、
その原理上、SQLインジェクション対策としても用いられます。

そのため、変数を組み込むような場合はprepare+executeを行うことによって、
安全かつ高速に（パフォーマンスはケースによる）実行できるというわけです。

逆に、完全に固定的なSQLの場合、例えば

SQL
1SELECT * FROM `any_table`:

みたいなケースだと変数に当たる部分が無いのでqueryでもいいという感じです。

投稿2016/06/23 06:23

tanat

総合スコア18716

earnest_gay

2016/06/23 06:34

変数を使っているかそうでないかの違いだったのですか... 知りませんでした。今までなんとなく使ってましたがず～～～～っと疑問に思ってました。 $sql = "INSERT INTO user_data(・・・) VALUES (・・・)" のように変数にしてしまってる場合はprepareとexecuteを使い、変数を使っていないならquery()を使うということですね。では変数を使わなかった場合はこうなって $stmt = $pdo->query("INSERT INTO user_data(・・・) VALUES (・・・)"); executeの部分はどうなるんです？