teratail
回答率
85.31%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.31%
トップMySQLに関する質問
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

Q&A

解決済

1回答

2464閲覧

laravelのbulk upsertのsqlインジェクション対策の記述方法について

jem32o
jem32o_

総合スコア79

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

0グッド

1クリップ

投稿2022/08/26 23:49

0

1

前提

laravelでの実装
input値をリクエストしてDBへ登録する。

実現したいこと

valuesのnameがinput値でPOSTされたデータのとき、下記の$sqlを実行したい場合、sqlインジェクション対策を考慮したlaravelの一般的な記述はどう記載するのでしょうか?(valuesのバインド変数化など)

php
1values [
2 0 => [
3   'id' => 1,
4   'name' => '太郎'
5 ],
6 1 => [
7   'id' => 2,
8   'name' => '次郎'
9 ]
10];
11
12$sql = <<< SQL
13    INSERT INTO
14      members
15        (id, name)
16      VALUES
17        (1, '太郎'),(2,  '次郎')
18      ON DUPLICATE KEY UPDATE
19        name = values(name)
20SQL;
21DB::insert($sql, $values);

試したこと

ここに問題に対して試したことを記載してください。

補足情報(FW/ツールのバージョンなど)

ここにより詳細な情報を記載してください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2022/08/27 00:04

「laravel sql パラメータ」などをキーワードにググって調べるとかはしたのですか?
jem32o
jem32o_

2022/08/27 00:13

>「laravel sql パラメータ」などをキーワードにググって調べるとかはしたのですか? 調べてはいますが、やりよう色々あったので laravelの一般的な記述ってどうやるのが知りたいというのが質問の意図です。
退会済みユーザー

退会済みユーザー

2022/08/27 00:22 編集

> 調べてはいますが、やりよう色々あったので だったら、あなたが調べた色々なやりようの中から、あなたがこれは良さそうと思うもので進めてみて、その上で問題・疑問が出てきたら、それを質問してはいかが? 読んでください⇒ https://teratail.com/help/question-tips
jem32o
jem32o_

2022/08/27 00:31

>teratailは技術に興味のある人達が集まって、質問と回答を通してお互いに知識や情報を交換・共有する場所です。 読みましたが、上記記述あるので一般的な方法を聞くのは何がいけなんですか? やり方は調べて出てくると色々出るけど laravelの現場経験ないから有識者に一般的な記述方法としてどういう風に書いているかを教えてもらい知識や情報を共有してもらいたいのですが?それの何がダメなんですか?
maisumakun
maisumakun

2022/08/27 00:50

> やりよう色々あったので そのいくつかのやり方を具体的に提示して、「どのやり方がどういう点でいいのでしょうか?」と聞く形にしたほうが、より回答の集まる質問になるかと思います。
yuki84web
yuki84web

2022/08/27 00:51

Laravelの記述を使えば勝手にインジェクション対策をしてくれるのですが、SQLを直書きする理由って何でしょう。書き方が分かりませんということであればマニュアルを見てください。 バージョンが分かりませんが8.xなら→https://readouble.com/laravel/8.x/ja/queries.html
退会済みユーザー

退会済みユーザー

2022/08/27 01:28

> 読みましたが、上記記述あるので一般的な方法を聞くのは何がいけなんですか? 読んでるとは言えませんよ。以下のように書いてありますが見ましたか? "調べてみた結果を実際に試してみましょう。解決はしなくても、試す前よりあなたの問題や不明点は明確になっているはずです" "人に質問をするには、自分が何を尋ねたいかを知っている必要があります。これは、「自分が今『何がわからないのか』がわかっていて、言語化できている」ということです" 上記のことができてやっと話が通じる(逆に言えば、その前では回答しても話が通じなくてお互い時間と労力の意無駄になる)というケースが多いのですよ。
guest

回答1

0

ベストアンサー

Laravel8以降であればupsertメソッドを使うのが一般的かと思います。
ID列は通常プライマリーキーで、auto incrementだと思いますので、以下の例ではemail列にuniqueインデックスが付与されているとします。モデルはUserとします。

PHP
1$users = [
2    [
3        'name' => 'sato',
4        'email' => 'sato@example.jp',
5    ],
6    [
7        'name' => 'yamada',
8        'email' => 'yamada@example.jp',
9    ],
10    [
11        'name' => 'tanaka',
12        'email' => 'tanaka@example.jp',
13    ],
14];
15
16User::upsert($users, ['email']);

上記でemail列に重複がなければINSERT、既に同名の列があればUPDATEになります。
詳しくは以下のドキュメントを参照ください。

Laravel 9.x Eloquentの準備

投稿2022/08/27 04:46

ockeghem
ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

jem32o
jem32o_

2022/08/27 12:44

変数「$sql」にクエリを入れてDB::insert($sql, $bind); とするよりもlaravelは「User::upsert($users, ['email']);」が一般的なのですね。 ご回答ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップMySQLに関する質問

laravelのbulk upsertのsqlインジェクション対策の記述方法について