編集履歴

回答編集履歴

調整

2023/08/15 01:12

投稿

スコア117652

test CHANGED Viewed

@@ -17,6 +17,34 @@
 $q2 = "SELECT id,`TEST FROM`, age FROM `TEST WHERE` WHERE age > 18 AND name LIKE 'John%' ORDER  BY id ASC";
 $r2 = transformQuery($q2);
 print nl2br($r1).";<br>\n";
+```
+# 追記
+ikedasさんからの批判について
+フレームワークがクエリービルダーを採用しているように、運用上生のSQL文はトラブルの原因になりがちなため、テーブル名や比較処理など明示的にあたえることが肝要です。もちろん自分で一から書くSQL文の場合組み立て時点で評価できるのでさほど問題はありませんし、値はprepareで渡すのでインジェクションも起きづらいので問題ないでしょう。ただ命題のようにすでにできあがっているSQL文を評価・整形することは無駄しかないのでやめたほうがいい（＝無意味）というのが私見です。とはいえThouShaltNotさんやikedasさんがテキストとしての生のSQL文を重要視しているのであればそれを否定するものではありませんし、その部分については先の回答で肯定的に回答を上げているつもりです。
+例はよくありませんがイメージとしてはevalで実行させたいPHP文を、実行前に有効かどうか評価すべきか・・・的な話で、私は評価するなんて無駄（＝無意味）なぜならevalなんて使わないから、という考え方です。
+極端な例で恐縮ですが参考までに以下
+```SQL
+create table `select test from tbl`(id int primary key,`select test from tbl` varchar(100));
+insert into `select test from tbl` values
+(1,'test'),
+(2,'select test from tbl'),
+(3,'select test from tbl where 1'),
+(4,'select test from tbl');
+create table `select test from tbl where 1` (id int primary key,`select test from tbl` varchar(100));
+insert into `select test from tbl where 1` values
+(1,'select test from tbl'),
+(2,'select test from tbl'),
+(3,'select test from tbl where 1');
 ```
+としたとき、以下のSQL文は有効ですが、テキストとして評価をすべきかというと疑問です
+```SQL
+select `select test from tbl` as '`select test from tbl where 1'
+from `select test from tbl` as `select test from tbl where 1`
+inner join `select test from tbl where 1`  as ```select test from tbl```
+using (`select test from tbl`)
+where `select test from tbl`='select test from tbl'
+order by `select test from tbl`
+```