Sql入門者　WHERE ID = :id; とはどういう意味なのでしょうか？

提示コードのsql文のコードですが以下のコードのID=:id;とはどういう意味なのでしょうか？参考サイトのように比較について調べましたがヒットしません。

参考サイト：　https://www.postgresql.jp/document/8.0/html/functions-comparison.html

php
1'SELECT password FROM Account WHERE ID = :id;';

php
1<!DOCTYPE html>
2<html lang=ja>
3  <head>
4    <meta charset="utf-8">
5
6    <link rel="stylesheet" href="style.css">
7    <title>send</title>
8  </head>
9
10        <body>
11
12<?php       
13ini_set("display_errors",1);
14error_reporting(E_ALL);
15?>                         
16<?php
17try
18{
19    $password = password_hash($_POST["password"],PASSWORD_DEFAULT);
20    $id = $_POST["id"];    
21    $dsn = 'mysql:dbname=Bulletin_Board;host=localhost;charset=utf8';    
22    $dbh = new PDO($dsn,"root","");
23    $dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION); 
24
25
26    $sql = 'SELECT password FROM Account WHERE ID = :id;';
27
28
29    $stmt = $dbh->prepare($sql);
30    $stmt->bindParam(':id', $_POST['id']);
31    //$stmt->bindParam(':password', $password);
32    $stmt->execute();
33    
34
35    $result = $stmt->fetch();
36    if(password_verify($_POST["password"],$result['password']) == true)
37    {
38        echo "true";   
39    }
40    else
41    {
42        echo "false";
43    }    
44    
45}
46catch(PDOException $e)
47{
48    die($e->getMessage());
49}
50?>
51</body>
52  
53</html>
54

行動規範の内容に同意します

回答3件

自分が何を書いているのか1行ずつ日本語で考えてみてください。

php
1// SQL文の作成
2$sql = 'SELECT password FROM Account WHERE ID = :id;';
3// PDOのprepareメソッドにSQL文を放り込む
4$stmt = $dbh->prepare($sql);
5// PDOのbindParamメソッドで:idにユーザーが入力したidを放り込む、ここで安全なSQL文に変換される
6$stmt->bindParam(':id', $_POST['id']);

ユーザーが入力した内容をそのままSQL文に組み込むのはセキュリティー的によくないので、(SQLインジェクションで調べてください）
安全なSQL文をPHPのプリペアドステートメントの機能で生成しています。
ここまでではSQLを実行していません。安全なSQL文の文字列を作って準備しているだけです。

php
1// 作ったSQL文の実行
2$stmt->execute();

で初めて作ったSQL文を実行しています。

参考サイト: https://kinocolog.com/pdo_prepare/

投稿2022/02/09 08:59

rokuemon99

総合スコア40

ベストアンサー

参考サイトがpostgreになっていますが、PDOの記載はmysqlですね
どちらかに統一されたほうがよろしいかと

PHP: PDO::prepare - Manual

文が実行されるときに実際の値に置き換えられる 0 個もしくはそれ以上の名前 (:name) もしくは疑問符 (?) パラメータマークを含むことができます

上記の「名前」を指定する記述方法です

投稿2022/02/09 08:42

編集2022/02/09 08:45

yambejp

総合スコア117914

コードがMySQL接続してるのに参照しているドキュメントがPostgreSQLで、しかも非常に古いドキュメントを参照しているのが謎なのですけど、
SQL本体じゃないです。
PHPのコードの問題。
プリペアドステートメント

パラメータとかバインドどか、コード見てれば何となく想像もつきそうなもんですが？（質問者自身の過去質問より引用）

$sql = 'SELECT name FROM Account WHERE ID = :id;';
$stmt = $dbh->prepare($sql);
$stmt->bindParam(':id', $_POST['id']);

過去コメントから「気づけばプロ並み～～」を利用しているようですが、そこに何も説明がないと思えません。
本当に何も説明がないなら不備なので出版社に問い合わせを。
参考書のコードだけ見てプログラミング身につくことは絶対にないので、
これまでのやり口からして「ちゃんと読んでない。理解してない」のは明白。
読んで理解してください。
何度も指摘されているはずです。体系的な学習をしろと。

投稿2022/02/09 07:30

編集2022/02/09 07:35