home
スポンサーリンク
2015-11-16

PHPでMySQLiの変数の数を可変(動的)にする方法

PHPからMySQLを使用する際には、MySQLiの使用が本家により推奨されています。

今回はそのMySQLiを使用したときの、プリペアドステートメントの数が動的に変化する場合のbind_paramメソッドの実装方法について解説します。

プリペアドステートメントの数が固定の場合

まず、通常のステートメントの数が固定の場合は、下記のようなコードにより、SQLを実行します。

<?php
// データベースに接続
$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');

// プリペアドステートメント
$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");

// 変数のバインド
$stmt->bind_param('sssd', $code, $language, $official, $percent);

$code = 'DEU';
$language = 'Bavarian';
$official = "F";
$percent = 11.2;

// プリペアドステートメントの実行
$stmt->execute();

// ステートメントの終了
$stmt->close();

// 接続の終了
$mysqli->close();
?>

SQLインジェクションの防止と、ソースコードの可読性向上の観点から、mysqli_stmt::bind_paramメソッドを使用して、SQLに変数を埋め込むのが一般的です。

しかし、mysqli_stmt::bind_paramメソッドを利用すると、そのままでは引数の数を可変にすることができません。

プリペアドステートメントの数が可変の場合

call_user_func_array関数を利用し、実装することで引数の数を可変にすることが可能です。

<?php
$sqlParams = [];
$sqlParams[0] = "";

// WHERE句の組み立て
$sqlWhere = [];
foreach ($whereCond as $value) {  //引数などからWHERE句を組み立てる
    if (//条件) {
        $sqlWhere[] = "name = ?";
        $sqlParams[0] .= "s";
        $sqlParams[] = $value;
    } elseif (//条件) {
        $sqlWhere[] = "status = ?";
        $sqlParams[0] .= "i";
        $sqlParams[] = $value;
    } elseif (//条件) {
        $sqlWhere[] = "modified = ?";
        $sqlParams[0] .= "s";
        $sqlParams[] = $value;
    }
}

// ORDER BY句の組み立て
$sqlOrderBy = [];
foreach ($orderByCond as $value) {
    // 省略。WHERE句と同様に組み立てる
}

// LIMIT句の組み立て
$sqlLimit = [];
foreach ($limitCond as $value) {
    // 省略。WHERE句と同様に組み立てる
}

// SQL文の組み立て
$sql = 'SELECT name, status, modified FROM users';
if (count($sqlWhere) > 0) {
    $sql .= ' WHERE ' . implode(",", $sqlWhere);
}
if (count($sqlOrderBy) > 0) {
    $sql .= ' ORDER BY ' . implode(",", $sqlOrderBy);
}
if (count($sqlLimit) > 0) {
    $sql .= ' LIMIT ' . implode(",", $sqlLimit);
}

// bind_paramに渡す引数を参照渡しに変更
$params = [];
foreach ($sqlParams as $key => $value) {
    $params[$key] = &$sqlParams[$key];
}

// データベースに接続
$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'world');

// プリペアドステートメント
if ($stmt = $mysqli->prepare($sql)) {

    // 変数のバインド
    call_user_func_array(array($stmt, 'bind_param'), $params);

    // プリペアドステートメントの実行
    if ($stmt->execute()) {

        // 結果の取得
        $result = $stmt->get_result();

        // 結果を出力
        while ($row = $result->fetch_array(MYSQLI_ASSOC)) {
            // 結果を処理
        }

        // 結果セットを開放
        $result->free();
    }
    // ステートメントの終了
    $stmt->close();

// 接続の終了
$mysqli->close();

?>

このようにすることで、可変のステートメントを安全に実装することができます。

なお、SQL文組み立てのところで変数を文字列に組み込んでしまうと、SQLインジェクションの元になってしまうので、そこだけは注意して実装してください。

まとめ

MySQLたのしい。

コメントを残す

スポンサーリンク
スポンサーリンク
ツイートする
シェアする
オススメする
ブックマークする
購読する