ものすごく基本的なことで申し訳ありません。
PHPでSQL文を組み立てる際に、たとえば、
php
1$arrA[0]['CompanyID']
という配列の値をSQLに組み込みたい場合、下記のようにそのまま埋め込むと、DB側のSQLエラーになってしまいます。
php
1$SQL = "SELECT * FROM Table Where CompanyID = '$arrA[0]['CompanyID']' ";
$arrA[0]['CompanyID'] の['CompanyID'] の「'」をどうエスケープすればいいのか分からないのですが…どなたか教えていただけませんか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
ベストアンサー
まずSQLのことは抜きして一般論を話します。PHPで複雑な表現の変数を文字列の中に展開したいときは主に2つの方法があります。
1つめは波括弧構文を使うことです。変数の表記を波括弧 {}
で囲むことによって、これは変数名を表しているんだということをPHPに明確に伝えることができます。
php
1$SQL = "SELECT * FROM Table Where CompanyID = '{$arrA[0]['CompanyID']}' ";
ただこれだと1行が長くなってしまいますし、記号だらけで正直見づらいですよね。そんなときは sprintf() 関数を使うと見通しがよくなります。
php
1$SQL = sprintf( 2 "SELECT * FROM Table Where CompanyID = '%s' ", 3 $arrA[0]['CompanyID'] 4);
%s
と書いた部分に第2引数の内容が埋め込まれます。sprintf() は特に数値を扱うときに便利で、ゼロ埋めしたり、小数点の桁数を指定したりと柔軟な整形が可能ですので覚えておくとよいでしょう。
つづいてこれをSQL文として見た場合、セキュリティの観点から変数をSQL文に直接埋め込むのではなく、プリペアドステートメント という方法を使ってセットことを強くおすすめします。
例えばPDOというPHP標準のライブラリを使った場合はこんなコードになります:
php
1$stmt = $dbh->prepare("SELECT * FROM Table WHERE CompanyID = ?"); 2$stmt->bindValue(1, $arrA[0]['CompanyID']); 3$stmt->execute();
?
と書いた部分に、bindValue() 関数によって指定された文字がセットされます。ちなみに ? をシングルクオートで囲んでいませんが、これは必要なエスケープ処理すべてをPDOが自動で行ってくれるためです。
直接変数を埋め込むと、場合によってはSQLインジェクションという脆弱性が出来てしまい、データの破壊・改ざん、個人情報漏洩などの大事故につながりますので気をつけて下さい。
投稿2017/07/25 10:47
編集2017/07/25 11:20総合スコア3095
0
SQL文を組み立てる際に、動的に変わる値(今回は $arrA[0]['CompanyID']
に入っている値)を使用する場合、SQL文にそのまま埋め込むべきではありません。
参考:
https://ja.wikipedia.org/wiki/SQLインジェクション
「プリペアドステートメント」を使いましょう。
参考:
http://php.net/manual/ja/pdo.prepared-statements.php
サンプル:
php
1// イメージです。動作環境が手元に無いので、間違っているかもしれません。 2$stmt = $dbh->prepare("SELECT * FROM Table Where CompanyID = :companyid"); 3$stmt->bindParam(':companyid', $arrA[0]['CompanyID']);
投稿2017/07/25 10:46
総合スコア2019
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
そのまま変数のデータをSQLを埋め込むのはセキュリティ上よくありません。
大きな理由としては外から直接入れることが出来るためです。
それでもよければ普通に文字列結合で解決します。
$SQL = "SELECT * FROM Table Where CompanyID = '". $arrA[0]['CompanyID']. "' ";
基本的にはプリペアドステートメントを利用します。
プリペアドステートメントを利用することで、直接的にSQLが書き換わる心配が無くなります。
質問者さんがどのようなデータベースライブラリを利用しているか、SQLという変数だけではわかりませんがよく使われるPDO(mysqlドライバ利用)を例として出しておきます。
// PDOを利用してmysqlに接続(実際はtry-catchでエラー制御すべきですが省略) $dbh = new PDO('mysql:host=localhost;dbname=test;charset=utf8', $user, $pass); $sql = "SELECT * FROM Table Where CompanyID = :company_id"; // (1) $sth = $dbh->prepare($sql); $sth->bindValue(':company_id', $arrA[0]['CompanyID'], PDO::PARAM_INT); // (2) $sth->execute(); // 実行 // $sth->fetchAll()とかでデータを取得する
(1)で、SQLを用意していますが、:company_idという名前の名前付きプレースホルダを利用します。
(2)でその名前付きプレースホルダ名に対応するようにデータをバインドします。
投稿2017/07/25 11:01
編集2017/07/25 11:07総合スコア2158
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
下記ではどうでしょうか。
PHP
1$SQL = "SELECT * FROM Table Where CompanyID = '{$arrA[0]['CompanyID']}' ";
下記コードを実行すると配列がどのような値に展開されているかが分かります。
PHP
1<?php 2$arrA = array(array('CompanyID' => 'hoge')); 3$SQL = "SELECT * FROM Table Where CompanyID = '$arrA[0]['CompanyID']' "; 4print $SQL; 5// => SELECT * FROM Table Where CompanyID = 'Array['CompanyID']'
投稿2017/07/25 10:44
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/25 13:18