質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • PHP

    20401questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5872questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • SQL

    2400questions

    SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PDOのexecute()とLIKE検索について

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 478

gsuisk

score 64

PDOStatement::execute のマニュアルによると、このようなことが記載されています。

プリペアドステートメントを実行します。
プリペアドステートメントがパラメータマーカを含む場合、次のいずれかを行わなければなりません。

(1)パラメータマーカに PHP 変数や値をバインドするためPDOStatement::bindValue() 等をコールする。

(2)あるいは、入力専用のパラメータ値の配列を渡す

(2)はexecuteの引数に値を配列に渡すということですよね?これはバインドされているのでしょうか?

例えば以下のようなコードです。性別、名前、住所を入力してDBにアクセスして検索するシステムです。

  $pdo = new PDO($dsn, $user, $password);
  $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
  $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  $where = [];
  $data = [];

  if ($sex !== '') {
  $where[] = '(sex=?)';
  $data[] = $sex;
  }

  if ($name !== '') {
  $where[] = '(name like ?)';
  $data[] = '%' . addcslashes($name, '\_%') . '%';
  }

  if ($address !== '') {
  $where[] = '(address like ?)';
  $data[] = '%' . addcslashes($address, '\_%') . '%';
  }

  $sql = "select * from member_table";

  if (count($where) > 0) {
    $sql .= ' where ' . implode('and', $where);
  }

  $stm = $pdo->prepare($sql);
  $stm->execute($data);

このようにbindValue()を使っていなくても、SQLインジェクションの心配はないのでしょうか?

また、LIKE検索する際に、addcslashes($name, '\_%')のようにエスケープするより良い方法があれば教えてほしいです。

よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

LIKE検索する際に、addcslashes($name, '\_%')のようにエスケープするより良い方法

微妙ですね。
そもそもLIKE "%hoge%"のような検索自体がインデックスが効かない
検索性の処理なので、パフォーマンスを期待するならキーワード登録して完全一致させるか
全文検索にするか検討する必要があります。
逆にユーザーが任意に%をつけて前方一致や後方一致をさせ、あえてプログラム側で
%つけやaddslushesをしないという考え方もあります

また冗長な書き方がきになるのであれば正規表現にきりかえて

カラム名 REGEXP キーワード


とし、正規表現特有のワイルドカードにひっかからないよう
preg_quote(キーワード)などで渡すという手もあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/17 19:01

    ありがとうございます。

    LIKE "%hoge%"のような検索自体がインデックスが効かない検索性の処理

    とはどのような意味でしょうか?普通の検索システムを作るだけなら、addcslashes($name, '\_%')
    でも問題ないでしょうか?

    キャンセル

  • 2017/10/17 19:05

    検索自体は正しく動きます。ただ、インデックスが効かないと「全データを読み込んで探す」以外に手段がなくなるので、件数が増えると速度が出ません。

    キャンセル

  • 2017/10/17 19:25

    それほど多くのデータは扱わないので、とりあえずインデックスは考えずにやってみます。

    ありがとうございました。

    キャンセル

+1

このようにbindValue()を使っていなくても、SQLインジェクションの心配はないのでしょうか?

はい、明示的にbindValue()を呼び出さなくても、executeに配列を渡すことでバインドすることもできます(PHP公式)。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/17 19:02

    わかりました!ありがとうございます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.51%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    php で添字を消したい

    前提・実現したいこと 以下のスクリプトを作っています。 $dbh = new PDO($dsn, $user, $password); $query = 'SELECT

  • 解決済

    【PHP】Fatal errorの原因がわからず

    $sql = "SELECT * FROM entry WHERE CONCAT(title,description,area,price,conditions) LIKE

  • 解決済

    sqlで複数値を渡したい

    お世話になっております。 sql分に?を使って値を当てはめています。 DBのデータを$addressの値にアップデートしたいです。 $addressの値は変動ありです

  • 解決済

    複数のグローバル変数で受け取った値を受け渡す方法が知りたいです。

    $_GETで受けとたった複数の値を渡したいです。 取得するURL:https://....php?name=name&page=1 <?php //デバッグ(開発)時は必ず

  • 解決済

    prepare()メゾットのオプション・・・カーソル

    prepare()メゾッドのオプションの PDO::ATTR_CURSOR => PDO::CURSOR_SCROLL のカーソルの概念がわかりません。 ↓↓理解している

  • 解決済

    PHP MySQL の連携

    PHPのWEBサイトで名前、年齢を登録ボタンを押すとMYSQLのテーブルに格納させる設定方法を教えて下さい。(レンタルサーバで各ソフトはインストールしています。)  PHPとMYS

  • 解決済

    PHPでレコードの検索

    質問を訂正しました。 PHPとMySQLを使って以下のような機能を実装したいです。 難易度、科目名、講師名の3つのカラムを持つテーブルがあり、いくつかのレコードが格納されて

  • 受付中

    PHPにてMySQLに接続、データ挿入

    PHPからPDOを使ってMySQLに接続しました。 テーブルも作成して、データを挿入するところです。 $stm = $pdo -> prepare("INSERT INTO

同じタグがついた質問を見る

  • PHP

    20401questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5872questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • SQL

    2400questions

    SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。