PHPでSQL文に連想配列の値を埋め込む場合

ものすごく基本的なことで申し訳ありません。

PHPでSQL文を組み立てる際に、たとえば、

php
1$arrA[0]['CompanyID']

という配列の値をSQLに組み込みたい場合、下記のようにそのまま埋め込むと、DB側のSQLエラーになってしまいます。

php
1$SQL = "SELECT * FROM Table Where CompanyID = '$arrA[0]['CompanyID']' ";

$arrA[0]['CompanyID'] の['CompanyID'] の「'」をどうエスケープすればいいのか分からないのですが…どなたか教えていただけませんか？

行動規範の内容に同意します

回答4件

ベストアンサー

まずSQLのことは抜きして一般論を話します。PHPで複雑な表現の変数を文字列の中に展開したいときは主に２つの方法があります。

1つめは波括弧構文を使うことです。変数の表記を波括弧 {} で囲むことによって、これは変数名を表しているんだということをPHPに明確に伝えることができます。

php
1$SQL = "SELECT * FROM Table Where CompanyID = '{$arrA[0]['CompanyID']}' ";

ただこれだと1行が長くなってしまいますし、記号だらけで正直見づらいですよね。そんなときは sprintf() 関数を使うと見通しがよくなります。

php
1$SQL = sprintf(
2    "SELECT * FROM Table Where CompanyID = '%s' ",
3    $arrA[0]['CompanyID']
4);

%s と書いた部分に第2引数の内容が埋め込まれます。sprintf() は特に数値を扱うときに便利で、ゼロ埋めしたり、小数点の桁数を指定したりと柔軟な整形が可能ですので覚えておくとよいでしょう。

つづいてこれをSQL文として見た場合、セキュリティの観点から変数をSQL文に直接埋め込むのではなく、プリペアドステートメント という方法を使ってセットことを強くおすすめします。

例えばPDOというPHP標準のライブラリを使った場合はこんなコードになります：

php
1$stmt = $dbh->prepare("SELECT * FROM Table WHERE CompanyID = ?");
2$stmt->bindValue(1, $arrA[0]['CompanyID']);
3$stmt->execute();

? と書いた部分に、bindValue() 関数によって指定された文字がセットされます。ちなみに ? をシングルクオートで囲んでいませんが、これは必要なエスケープ処理すべてをPDOが自動で行ってくれるためです。

直接変数を埋め込むと、場合によってはSQLインジェクションという脆弱性が出来てしまい、データの破壊・改ざん、個人情報漏洩などの大事故につながりますので気をつけて下さい。

投稿2017/07/25 10:47

編集2017/07/25 11:20

miyahan

総合スコア3095

Everonward

2017/07/25 13:18

出来ました！波括弧構文、sprintf() 双方とても勉強になりました。ありがとうございました！ユーザからの入力を受け付けたり、その影響を受ける箇所については、SQLインジェクション対策もしっかり進めて参ります！

行動規範の内容に同意します

SQL文を組み立てる際に、動的に変わる値（今回は $arrA[0]['CompanyID'] に入っている値）を使用する場合、SQL文にそのまま埋め込むべきではありません。
参考：
https://ja.wikipedia.org/wiki/SQLインジェクション

「プリペアドステートメント」を使いましょう。
参考：
http://php.net/manual/ja/pdo.prepared-statements.php

サンプル：

php
1// イメージです。動作環境が手元に無いので、間違っているかもしれません。
2$stmt = $dbh->prepare("SELECT * FROM Table Where CompanyID = :companyid");
3$stmt->bindParam(':companyid', $arrA[0]['CompanyID']);

投稿2017/07/25 10:46

alg

総合スコア2019

Everonward

2017/07/25 13:19

ありがとうございました！ SQLインジェクション対策もしっかり進めて参ります！

行動規範の内容に同意します

そのまま変数のデータをSQLを埋め込むのはセキュリティ上よくありません。
大きな理由としては外から直接入れることが出来るためです。

それでもよければ普通に文字列結合で解決します。

$SQL = "SELECT * FROM Table Where CompanyID = '". $arrA[0]['CompanyID']. "' ";

基本的にはプリペアドステートメントを利用します。
プリペアドステートメントを利用することで、直接的にSQLが書き換わる心配が無くなります。

質問者さんがどのようなデータベースライブラリを利用しているか、SQLという変数だけではわかりませんがよく使われるPDO(mysqlドライバ利用)を例として出しておきます。

// PDOを利用してmysqlに接続(実際はtry-catchでエラー制御すべきですが省略)
$dbh = new PDO('mysql:host=localhost;dbname=test;charset=utf8', $user, $pass);

$sql = "SELECT * FROM Table Where CompanyID = :company_id"; // (1)
$sth = $dbh->prepare($sql);
$sth->bindValue(':company_id', $arrA[0]['CompanyID'], PDO::PARAM_INT); // (2)

$sth->execute(); // 実行

// $sth->fetchAll()とかでデータを取得する

(1)で、SQLを用意していますが、:company_idという名前の名前付きプレースホルダを利用します。
(2)でその名前付きプレースホルダ名に対応するようにデータをバインドします。

投稿2017/07/25 11:01

編集2017/07/25 11:07

fagai

総合スコア2158

Everonward

2017/07/25 13:18

頂いた方法でもできました！ありがとうございました！ SQLインジェクション対策もしっかり進めて参ります！

行動規範の内容に同意します

下記ではどうでしょうか。

PHP
1$SQL = "SELECT * FROM Table Where CompanyID = '{$arrA[0]['CompanyID']}' ";

下記コードを実行すると配列がどのような値に展開されているかが分かります。

PHP
1<?php
2$arrA = array(array('CompanyID' => 'hoge'));
3$SQL = "SELECT * FROM Table Where CompanyID = '$arrA[0]['CompanyID']' ";
4print $SQL;
5// => SELECT * FROM Table Where CompanyID = 'Array['CompanyID']'