編集履歴

回答編集履歴

文章の軽微修正

2017/07/25 11:20

投稿

スコア3095

test CHANGED Viewed

@@ -14,7 +14,7 @@
-ただこれだと1行が長くなってしまいます。そんなときは [sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うと見通しがよくなります。
+ただこれだと1行が長くなってしまいますし、記号だらけで正直見づらいですよね。そんなときは [sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うと見通しがよくなります。
@@ -60,7 +60,7 @@
-`?` と書いた部分に、bindValue() 関数によって指定された文字がセットされます。
+`?` と書いた部分に、bindValue() 関数によって指定された文字がセットされます。ちなみに ? をシングルクオートで囲んでいませんが、これは必要なエスケープ処理すべてをPDOが自動で行ってくれるためです。

波括弧について追記

2017/07/25 11:20

投稿

miyahan

スコア3095

test CHANGED Viewed

@@ -1,4 +1,20 @@
+まずSQLのことは抜きして一般論を話します。PHPで複雑な表現の変数を文字列の中に展開したいときは主に２つの方法があります。
+1つめは[波括弧構文](http://php.net/manual/ja/language.types.string.php#language.types.string.parsing.complex)を使うことです。変数の表記を波括弧 `{}` で囲むことによって、これは変数名を表しているんだということをPHPに明確に伝えることができます。
+```php
+$SQL = "SELECT * FROM Table Where CompanyID = '{$arrA[0]['CompanyID']}' ";
+```
-まずSQLのことは抜きして一般論を話します。PHPで複雑な表現の変数を文字列の中に展開したい場合は、[sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うのが手軽で、かつコードの見通しも良くなります。
+ただこれだと1行が長くなってしまいます。そんなときは [sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うと見通しがよくなります。

誤字修正

2017/07/25 11:11

投稿

miyahan

スコア3095

test CHANGED Viewed

File without changes

文章の軽微修正

2017/07/25 10:57

投稿

miyahan

スコア3095

test CHANGED Viewed

@@ -1,4 +1,4 @@
-まずPHP単体の話をします。PHPで複雑な変数を文字列の中に展開したい場合は、[sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うのが便利で、かつコードも見やすく書けます。
+まずSQLのことは抜きして一般論を話します。PHPで複雑な表現の変数を文字列の中に展開したい場合は、[sprintf()](http://php.net/manual/ja/function.sprintf.php) 関数を使うのが手軽で、かつコードの見通しも良くなります。
@@ -24,11 +24,11 @@
-つづいてこれをSQL文として見た場合、変数をSQL文に直接埋め込むのではなく、**プリペアドステートメント** という方法を使ってセットする方法が推奨されています。
+つづいてこれをSQL文として見た場合、セキュリティの観点から変数をSQL文に直接埋め込むのではなく、**プリペアドステートメント** という方法を使ってセットことを強くおすすめします。
-PDOというPHP標準のライブラリを使った場合はこんなコードになります：
+例えばPDOというPHP標準のライブラリを使った場合はこんなコードになります：
@@ -48,4 +48,4 @@
-データベース周りはちょっとしたバグ(脆弱性)が大事故につながりますので、ぜひ使って下さい。
+直接変数を埋め込むと、場合によってはSQLインジェクションという脆弱性が出来てしまい、データの破壊・改ざん、個人情報漏洩などの大事故につながりますので気をつけて下さい。