prepareとexecuteとqueryの使い分けについて

解決済

回答 2

投稿

  • 評価
  • クリップ 6
  • VIEW 18K+

kuzurotto

score 403

prepareとexecuteとqueryの使い分けについて教えてください。

PHPマニュアルを見ても全然理解できずです。

私の認識では、
prepareとexecuteはセットでINSERTするときに使うとおもっています。

$sql = "INSERT INTO user_data(・・・) VALUES (・・・)"
$stmt = $pdo->prepare($sql);
$stmt->execute([・・・]);

preparaでsql文をセットする。
そのセットしたsql文をexecuteでバインドしていく。
という認識で大丈夫でしょうか?

queryはSELECTするときに使うと思っています。

$sql = "SELECT id FROM user_data";
$stmt = $pdo->query($sql);

これはネットで見ている限りこういった使い方が多いから
こういうもんなんだなって思っています。

ただ、
こういうもんなんだなって思って使っていて、なぜそれを使わないといけないのか理解してないので

$sql = "INSERT INTO user_data(・・・) VALUES (・・・)"
$stmt = $pdo->query($sql);
$stmt->execute([・・・]);


とか

$sql = "SELECT id FROM user_data";
$stmt = $pdo->prepare($sql);

とかやったらどうなんだろう?ダメなの?なんで?

ってなっちゃいます。

分かりやすく解説頂けると助かります。
宜しくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+7

prepareとexecuteはセットでINSERTするときに使うとおもっています。 

INSERT, UPDATE, SELECT だからということではありません。
SQLに何らかの変数を割り当てしたいときに利用します。

変数の割り当てが必要ないときは query() を利用することもできます。

例えば、

$sql = 'SELECT * FROM table WHERE id = ?';
$sql = 'UPDATE table SET name = ? WHERE id = ?';
$sql = 'INSERT INTO table VALUES (?, ?)';

そのセットしたsql文をexecuteでバインドしていく。 

違います。あくまで execute は「実行する」という意味です。
引数に配列を渡したときにあくまで「便利機能」としてバインド「も」やってくれているということです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/23 15:41

    理解できました!
    ありがとうございます!

    キャンセル

  • 2016/06/23 16:14

    execute は「便利機能」としてバインド「も」やってくれているということです。

    とのことですが、例えば下記をqueryだけでやろうとしたらどうなるのでしょうか?

    $stmt = $pdo->prepare("INSERT INTO user_data(email, password) VALUES (?, ?)");
    $stmt->execute([
    $_SESSION['join1']['email'],
    password_hash($_SESSION['join1']['pw'],PASSWORD_DEFAULT)
    ]);

    キャンセル

  • 2016/06/23 16:16

    やってみればわかることではありません?

    キャンセル

+4

まず、
INSERTやUPDATEなどのSQL文の違いとprepareとexecuteとqueryの使い分けに関係はありません。

厳密には違う部分もありますが、
ごく大雑把に言うと

  • 変数をSQL文に組み込む必要がある場合はprepareとexecuteを使う。
  • そのほかの場合でも基本的にprepareとexecuteを使えばOK。
  • 固定SQLを実行する場合はqueryを使う

という感じになります。

理由は
プリペアードステートメントとは
で検索して下さいと言ってしまいたくなるのですが、

ざっと説明すると
プリペアードステートメントとはあらかじめ構文を固定化することで
与えられた変数を変数としてのみ評価することで高速に実行するという仕組みで、
その原理上、SQLインジェクション対策としても用いられます。

そのため、変数を組み込むような場合はprepare+executeを行うことによって、
安全かつ高速に(パフォーマンスはケースによる)実行できるというわけです。

逆に、完全に固定的なSQLの場合、例えば

SELECT * FROM `any_table`:


みたいなケースだと変数に当たる部分が無いのでqueryでもいいという感じです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/06/23 15:34

    変数を使っているかそうでないかの違いだったのですか...
    知りませんでした。

    今までなんとなく使ってましたがず~~~~っと疑問に思ってました。

    $sql = "INSERT INTO user_data(・・・) VALUES (・・・)"
    のように変数にしてしまってる場合はprepareとexecuteを使い、
    変数を使っていないならquery()を使うということですね。

    では変数を使わなかった場合はこうなって

    $stmt = $pdo->query("INSERT INTO user_data(・・・) VALUES (・・・)");
    executeの部分はどうなるんです?


    キャンセル

  • 2016/06/23 15:37

    $stmt = $pdo->query("INSERT INTO user_data(・・・) VALUES (・・・)");
    でSQLは実行されてるので、prepare+executeみたいな効果が発揮されています。
    そのため、executeに当たる部分は不要というか存在しません。

    キャンセル

  • 2016/06/23 15:44

    queryはqueryだけでいいけど
    prepareを使うならexecuteもセットということですね!
    ありがとうございました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.21%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる