プリペアドステートメントおよびストアドプロシージャ

より成熟したデータベースの多くは、プリペアドステートメントという概念をサポートしています。プリペアドステートメントとはいったい何のことでしょう? これは、実行したい SQL をコンパイルした一種のテンプレートのようなものです。パラメータ変数を使用することで SQL をカスタマイズすることが可能です。プリペアドステートメントには 2 つの大きな利点があります。

クエリのパース (あるいは準備) が必要なのは最初の一回だけで、同じパラメータ (あるいは別のパラメータ) を指定して何度でもクエリを実行することができます。クエリを実行するには、準備としてクエリの解析やコンパイル、そして実行プランの最適化が行われます。クエリが複雑になると、この処理には時間がかかるようになります。同じクエリを異なったパラメータで何度も実行すると、アプリケーションの動作は目に見えて遅くなるでしょう。プリペアドステートメントを使用すると、この解析/コンパイル/最適化の繰り返しを避けることができます。端的に言うと、プリペアドステートメントは使用するリソースが少ないため高速に動作するということです。
プリペアドステートメントに渡すパラメータは、引用符で括る必要はありません。それはドライバが自動的に行います。アプリケーションで明示的にプリペアドステートメントを使用するようにすれば、SQL インジェクションは決して発生しません (しかし、もし信頼できない入力をもとにクエリの他の部分を構築しているのならば、その部分に対するリスクを負うことになります)。

プリペアドステートメントは非常に有用な機能なので、もしドライバがサポートしていなくても、例外的に PDO がこの機能をエミュレートします。これにより、データベースの機能にかかわらず同じ仕組みでデータベースへのアクセスができることが保証されます。

例1 プリペアドステートメントを使用して、繰り返し挿入処理を行う

この例は、name および value を名前つきプレースホルダで置き換えて INSERT クエリを実行します。

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);

// 行を挿入します
$name = 'one';
$value = 1;
$stmt->execute();

// パラメータを変更し、別の行を挿入します
$name = 'two';
$value = 2;
$stmt->execute();
?>

例2 プリペアドステートメントを使用して、繰り返し挿入処理を行う

この例は、name および value をプレースホルダ ? で置き換えて INSERT クエリを実行します。

<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

// 行を挿入します
$name = 'one';
$value = 1;
$stmt->execute();

// パラメータを変更し、別の行を挿入します
$name = 'two';
$value = 2;
$stmt->execute();
?>

例3 プリペアドステートメントを使用してデータを取得する

この例では、フォームで入力したキーの値に応じたデータを取得します。ユーザーの入力内容は自動的に引用符で括られるので、SQL インジェクション攻撃の恐れはありません。

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name = ?");
$stmt->execute([$_GET['name']]);
foreach ($stmt as $row) {
  print_r($row);
}
?>

例4 出力パラメータを指定してストアドプロシージャをコールする

データベースドライバがサポートしていれば、入力パラメータだけでなく出力パラメータもバインドすることが可能です。出力パラメータは、一般にストアドプロシージャから値を受け取るために使用します。この場合、返される値の大きさがどの程度になるのかをバインド時に知っておく必要があります。指定した大きさよりも大きな値が返されると、エラーが発生します。

<?php
$stmt = $dbh->prepare("CALL sp_returns_string(?)");
$stmt->bindParam(1, $return_value, PDO::PARAM_STR, 4000); 

// ストアドプロシージャをコールします
$stmt->execute();

print "プロシージャが返した値は $return_value です\n";
?>

例5 入出力パラメータを指定してストアドプロシージャをコールする

入出力の両方に使用するパラメータを指定することもできます。このパラメータの書式は、出力パラメータと同じです。次の例では、ストアドプロシージャに文字列 'hello' を渡しています。プロシージャの結果が返ってくると、この文字列はプロシージャの返す値に置き換えられます。

<?php
$stmt = $dbh->prepare("CALL sp_takes_string_returns_string(?)");
$value = 'hello';
$stmt->bindParam(1, $value, PDO::PARAM_STR|PDO::PARAM_INPUT_OUTPUT, 4000); 

// ストアドプロシージャをコールします
$stmt->execute();

print "プロシージャが返した値は $value です\n";
?>

例6 プレースホルダの間違った使用法

<?php
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE '%?%'");
$stmt->execute([$_GET['name']]);

// プレースホルダは、値全体に対して使用しなければなりません
$stmt = $dbh->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->execute(["%$_GET[name]%"]);
?>

Found A Problem?

Learn How To Improve This Page • Submit a Pull Request • Report a Bug

＋add a note

User Contributed Notes 3 notes

down

219

adam at pyramidpower dot com dot au ¶

15 years ago

Note that when using name parameters with bindParam, the name itself, cannot contain a dash '-'. example:<?php$stmt = $dbh->prepare ("INSERT INTO user (firstname, surname) VALUES (:f-name, :s-name)");$stmt -> bindParam(':f-name', 'John');$stmt -> bindParam(':s-name', 'Smith');$stmt -> execute();?>The dashes in 'f-name' and 's-name' should be replaced with an underscore or no dash at all.See http://bugs.php.net/43130Adam

down

w37090 at yandex dot ru ¶

5 years ago

Insert a multidimensional array into the database through a prepared query:We have an array to write the form:$dataArr:Array(    [0] => Array        (            [0] => 2020            [1] => 23            [2] => 111111        )     [1] => Array        (            [0] => 2020            [1] => 24            [2] => 222222222        )....Task: prepare a request and pass through binds$array = [];foreach ($dataArr as $k=>$v) {// $x = 2020, the variable is predetermined in advance, does not change the essence$array[] = [$x, $k, $v];}$sql = ("INSERT INTO `table` (`field`,`field`,`field`) VALUES (?,?,?)");$db->queryBindInsert($sql,$array);public function queryBindInsert($sql,$bind) {        $stmt = $this->pdo->prepare($sql);         if(count($bind)) {            foreach($bind as $param => $value) {                $c = 1;                for ($i=0; $i<count($value); $i++) {                    $stmt->bindValue($c++, $value[$i]);                }                $stmt->execute();            }        }    }

down

-1

theking2(at)king.ma ¶

1 year ago

Example #5 gives an 1414 wenn tried on MariaDB. Use this function to call a stored procedure with the last parameter as INOUT returning a value like a (uu)id or a count;<?php/** * call_sp Call the specified stored procedure with the given parameters. * The first parameter is the name of the stored procedure. * The remaining parameters are the (in) parameters to the stored procedure. * the last (out) parameter should be an int like state or number of affected rows. * * @param  mixed $sp_name The name of the stored procedure to call. * @param  mixed $params The parameters to pass to the stored procedure. * @return int The number of affected rows. */function call_sp( \PDO $db, string $sp_name, ...$params ): mixed{  $placeholders   = array_fill( 0, count( $params ), "?" );  $placeholders[] = "@new_id";  $sql = "CALL $sp_name( " . implode( ", ", $placeholders ) . " ); SELECT @new_id AS `new_id`";  try {    LOG->debug( "calling Stored Procedure", [ "sql" => $sql ] );    $stmt = $db->prepare( $sql );    $i    = 0;    foreach( $params as $param ) {      $stmt->bindValue( ++$i, $param );    }    $stmt->execute();    $new_id = $stmt->fetch( PDO::FETCH_ASSOC )['new_id'];    return $new_id;  } catch ( \Exception $e ) {    LOG->error( "Error calling Stored Procedure", [ "sql" => $sql, "params" => $params, "error" => $e->getMessage() ] );    throw $e;  }

＋add a note