【PHP8.x】Pdo\Sqlite::prepare()メソッドの使い方

prepareメソッドの使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年01月17日

基本的な使い方

prepareメソッドは、SQL文をデータベースサーバーに送信し、実行する準備を行うメソッドです。このメソッドを使用することで、開発者はデータベースに対して安全かつ効率的にSQLクエリを実行できます。

特に重要なのは、SQLインジェクション攻撃に対する保護です。prepareメソッドは、SQL文自体と、そのSQL文で使用するデータ（ユーザーからの入力など）を分離して扱います。これにより、ユーザーからの入力がSQL文の一部として直接解釈されることを防ぎ、悪意のあるコードがデータベースに挿入されるリスクを大幅に低減します。この安全なSQL文の実行準備プロセスを「プリペアドステートメント」と呼びます。

また、同じSQL文を繰り返し実行する必要がある場合でも、一度prepareメソッドで準備しておけば、SQL文の解析やコンパイルの処理を何度も行う必要がなくなります。このため、データベース操作のパフォーマンスが向上するという利点もあります。

prepareメソッドには、実行したいSQL文を文字列として引数に渡します。このSQL文には、後から値を割り当てるためのプレースホルダを含めることができます。また、オプションとして、PDOドライバー固有の動作を制御するためのオプション配列を渡すことも可能です。メソッドが成功すると、結果としてPDOStatementクラスのオブジェクトが返されます。このPDOStatementオブジェクトは、後続の処理でプレースホルダに値をバインドしたり、実際にSQL文を実行したりするために使用されます。システムエンジニアを目指す初心者の方にとって、データベースとの連携においてセキュリティと効率性を確保するための基本的ながら非常に重要な役割を果たすメソッドです。

構文(syntax)


1<?php
2
3$stmt = $pdo->prepare(string $query, array $options = []);

引数(parameters)

string $query, array $options = []

string $query: 実行したいSQLクエリ文字列
array $options = []: オプションを指定する連想配列（デフォルトは空配列）

戻り値(return)

PDOStatement|false

prepare メソッドは、SQL文をプリペアドステートメントとして準備します。成功した場合は PDOStatement オブジェクトを返しますが、失敗した場合は false を返します。

サンプルコード

PHP PDOプリペアドステートメントでデータ操作する


1<?php
2
3/**
4 * PHPのPDOを利用したプリペアドステートメントのサンプルコードです。
5 * SQLiteのインメモリデータベースを使用し、データの挿入と検索を行います。
6 *
7 * プリペアドステートメントは、SQLインジェクション攻撃を防ぎ、
8 * 繰り返し実行されるクエリのパフォーマンスを向上させるための重要なテクニックです。
9 */
10
11try {
12    // 1. SQLiteのインメモリデータベースに接続
13    // ':memory:' を指定することで、ファイルを作成せずにメモリ上でデータベースを操作できます。
14    // 実際のアプリケーションでは 'sqlite:/path/to/your/database.sqlite' のようにファイルパスを指定します。
15    $pdo = new PDO('sqlite::memory:');
16
17    // エラーモードを設定: エラー発生時にPDOExceptionをスローするようにします。
18    // これにより、try-catchブロックでエラーを捕捉しやすくなります。
19    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
20
21    echo "データベースに接続しました。\n";
22
23    // 2. テーブルの作成（初回実行時のみ）
24    // exec()は結果セットを返さないSQL文（CREATE, INSERT, UPDATE, DELETEなど）の実行に適しています。
25    $pdo->exec("CREATE TABLE IF NOT EXISTS users (
26        id INTEGER PRIMARY KEY AUTOINCREMENT,
27        name TEXT NOT NULL,
28        email TEXT UNIQUE NOT NULL
29    )");
30    echo "usersテーブルを作成しました（または既に存在します）。\n";
31
32    // 3. プリペアドステートメントを使ったデータの挿入
33    // SQLクエリにプレースホルダ（:name, :email）を使用します。
34    // これにより、ユーザー入力値が直接SQLクエリに埋め込まれるのを防ぎ、SQLインジェクションを防ぎます。
35    $insertQuery = "INSERT INTO users (name, email) VALUES (:name, :email)";
36    $stmt = $pdo->prepare($insertQuery); // クエリを準備
37
38    // 挿入するデータ
39    $userName1 = 'Alice';
40    $userEmail1 = 'alice@example.com';
41
42    // プレースホルダに値をバインド（関連付け）します。
43    // bindParam()は変数を参照渡しするため、変数の値が変更されるとバインドされた値も変更されます。
44    // bindValue()は値を直接コピーするため、変数の値が変更されてもバインドされた値は変わりません。
45    $stmt->bindParam(':name', $userName1);
46    $stmt->bindParam(':email', $userEmail1);
47
48    // 準備したステートメントを実行します。
49    $stmt->execute();
50    echo "ユーザー '{$userName1}' を挿入しました。\n";
51
52    // 別のデータを挿入する例 (bindParamの効果を見るために変数名を再利用)
53    $userName2 = 'Bob';
54    $userEmail2 = 'bob@example.com';
55    $stmt->bindParam(':name', $userName2); // 変数の値が更新されたので、新しい値がバインドされる
56    $stmt->bindParam(':email', $userEmail2);
57    $stmt->execute();
58    echo "ユーザー '{$userName2}' を挿入しました。\n";
59
60    // 4. プリペアドステートメントを使ったデータの検索
61    $searchQuery = "SELECT id, name, email FROM users WHERE name = :searchName";
62    $stmt = $pdo->prepare($searchQuery); // クエリを準備
63
64    // 検索する名前
65    $searchName = 'Alice';
66
67    // プレースホルダに値をバインドします。
68    $stmt->bindParam(':searchName', $searchName);
69
70    // ステートメントを実行します。
71    $stmt->execute();
72
73    // 結果を取得します。PDO::FETCH_ASSOCは結果を連想配列として返します。
74    $foundUser = $stmt->fetch(PDO::FETCH_ASSOC);
75
76    if ($foundUser) {
77        echo "\nユーザー '{$searchName}' の検索結果:\n";
78        echo "ID: " . $foundUser['id'] . ", ";
79        echo "名前: " . $foundUser['name'] . ", ";
80        echo "メール: " . $foundUser['email'] . "\n";
81    } else {
82        echo "\nユーザー '{$searchName}' は見つかりませんでした。\n";
83    }
84
85} catch (PDOException $e) {
86    // データベース接続やクエリ実行に関するエラーを捕捉します。
87    echo "エラーが発生しました: " . $e->getMessage() . "\n";
88    // 実際のアプリケーションでは、エラーログに記録するなどの処理を行います。
89}
90
91?>

このサンプルコードは、PHPでデータベースを安全かつ効率的に操作するための「プリペアドステートメント」という重要な手法を解説しています。特に、Pdo\Sqlite::prepareメソッドがその中心的な役割を担います。

PDO::prepareメソッドは、実行したいSQLクエリ文字列（$query引数）を受け取り、データベースに送る前にそのSQL文を事前に解析・準備します。これにより、SQLインジェクション攻撃と呼ばれるセキュリティ上の脅威を防ぎます。SQLクエリの中に直接ユーザーからの入力値を埋め込むのではなく、:nameのような「プレースホルダ」を記述し、後から安全な方法で実際の値を関連付けます。メソッドが成功すると、PDOStatementオブジェクト（戻り値）が返されます。このオブジェクトは、クエリ実行に必要な準備が整った状態を表し、失敗した場合はfalseを返します。

返されたPDOStatementオブジェクトは、bindParamメソッドを使ってプレースホルダに実際のデータ（例えばユーザー名やメールアドレス）を関連付け、その後executeメソッドを呼び出すことでクエリを実行します。この一連の流れにより、繰り返し実行されるクエリの場合でも、SQLの解析処理を一度だけで済ませることができ、アプリケーションのパフォーマンス向上にも寄与します。

サンプルコードでは、メモリ上のSQLiteデータベースに接続し、テーブル作成後、ユーザーデータの挿入と検索をプリペアドステートメントで行っています。これにより、異なるユーザーデータを安全に、そして効率よくデータベースに登録・取得できることが示されています。

プリペアドステートメントは、SQLインジェクション攻撃を防ぎ、アプリケーションのセキュリティを高める上で不可欠な技術です。prepare()メソッドでSQLクエリ中のプレースホルダを使用し、ユーザーからの入力値が直接クエリに埋め込まれないようにすることで安全性を確保します。値をバインドする際には、bindParam()が変数を参照渡しする性質を理解することが重要です。変数の値が後で変更されると、バインドされた値もそれに合わせて更新されるため注意が必要です。一方、bindValue()は値を直接コピーするため、変数の変更に影響されません。execute()でステートメントを実行する際は、try-catchブロックとPDO::ATTR_ERRMODEを適切に設定し、データベース接続やクエリ実行時のエラーを確実に捕捉し処理することが大切です。サンプルコードで使用しているインメモリデータベースは学習やテストには便利ですが、実際のアプリケーションではデータベースファイルのパスを明確に指定して利用してください。

PHP PDO prepareの使い方


1<?php
2
3// PDO (PHP Data Objects) を使用してSQLiteデータベースに接続し、
4// SQLのプリペアドステートメント (prepare) の基本的な使い方を示すサンプルコードです。
5// prepareメソッドは、SQLインジェクション攻撃を防ぎ、同じSQL文を複数回実行する際のパフォーマンスを向上させます。
6
7try {
8    // 1. SQLiteデータベースへの接続
9    // ':memory:' を使用すると、ディスクにファイルを作成せず、メモリ上で一時的なデータベースを作成します。
10    // 実際のアプリケーションでは、'sqlite:/path/to/your/database.db' のようにファイルパスを指定します。
11    $dsn = 'sqlite::memory:';
12    $pdo = new PDO($dsn);
13
14    // エラーモードを例外に設定し、エラー発生時にPDOExceptionをスローするようにします。
15    // これにより、prepare() が false を返す代わりに例外がスローされ、エラーハンドリングが容易になります。
16    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
17    $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC); // デフォルトのフェッチモードを連想配列に設定
18
19    echo "データベースに接続しました。\n";
20
21    // 2. テーブルの作成 (初回のみ実行)
22    $createTableSql = "
23        CREATE TABLE IF NOT EXISTS users (
24            id INTEGER PRIMARY KEY AUTOINCREMENT,
25            name TEXT NOT NULL,
26            email TEXT NOT NULL UNIQUE
27        );
28    ";
29    $pdo->exec($createTableSql); // execは結果セットを返さないSQL文 (CREATE, INSERT, UPDATE, DELETE) に使用
30    echo "usersテーブルを作成 (または既存を使用) しました。\n";
31
32    // 3. データの挿入 (prepareメソッドの使用例)
33    // プレースホルダ (:name, :email) を使用することで、値を安全にSQL文にバインドし、
34    // SQLインジェクション攻撃を防ぎます。
35    $insertSql = "INSERT INTO users (name, email) VALUES (:name, :email)";
36    $stmt = $pdo->prepare($insertSql); // SQL文を準備 (PDOStatementオブジェクトが返る)
37
38    // 準備したステートメントに値をバインドし、実行
39    $stmt->execute([':name' => '山田 太郎', ':email' => 'yamada.t@example.com']);
40    echo "ユーザー '山田 太郎' を挿入しました。\n";
41
42    $stmt->execute([':name' => '田中 花子', ':email' => 'tanaka.h@example.com']);
43    echo "ユーザー '田中 花子' を挿入しました。\n";
44
45    // 同じプリペアドステートメントを異なる値で再利用できます
46    $stmt->execute([':name' => '佐藤 次郎', ':email' => 'sato.j@example.com']);
47    echo "ユーザー '佐藤 次郎' を挿入しました。\n";
48
49    // 4. データの取得 (prepareメソッドとWHERE句の使用例)
50    // 条件付きでデータを取得する場合にもprepareが有効です。
51    $selectSql = "SELECT id, name, email FROM users WHERE email = :email";
52    $stmt = $pdo->prepare($selectSql); // SQL文を準備
53
54    $targetEmail = 'yamada.t@example.com';
55    $stmt->execute([':email' => $targetEmail]); // プレースホルダに値をバインドして実行
56
57    $user = $stmt->fetch(); // 結果の1行目を取得 (デフォルトで連想配列)
58
59    if ($user) {
60        echo "\n指定されたメールアドレスのユーザーが見つかりました:\n";
61        echo "ID: " . $user['id'] . ", 名前: " . $user['name'] . ", メール: " . $user['email'] . "\n";
62    } else {
63        echo "\n指定されたメールアドレスのユーザーは見つかりませんでした。\n";
64    }
65
66    // 5. 全データの取得
67    $selectAllSql = "SELECT id, name, email FROM users";
68    $stmt = $pdo->prepare($selectAllSql); // SQL文を準備
69    $stmt->execute(); // プレースホルダがないため、引数なしで実行
70
71    echo "\n全てのユーザー:\n";
72    while ($row = $stmt->fetch()) { // 結果セットから1行ずつ取得
73        echo "ID: " . $row['id'] . ", 名前: " . $row['name'] . ", メール: " . $row['email'] . "\n";
74    }
75
76} catch (PDOException $e) {
77    // データベース関連のエラーが発生した場合の処理
78    echo "データベースエラー: " . $e->getMessage() . "\n";
79} catch (Exception $e) {
80    // その他の予期せぬエラーが発生した場合の処理
81    echo "一般的なエラー: " . $e->getMessage() . "\n";
82}
83
84?>

PHPのPDO::prepareメソッドは、データベース操作においてセキュリティとパフォーマンスを向上させるための重要な機能です。このメソッドは、SQL文をデータベースに送信する前に一度「準備」する役割を持ちます。第一引数$queryには、後から値を安全にバインドするための「プレースホルダ」を含むSQLクエリ文字列を指定します。第二引数$optionsは、追加のドライバオプションを配列で指定できますが、多くの場合省略されます。

prepareメソッドは、SQL文の準備が成功するとPDOStatementオブジェクトを返します。このオブジェクトは、準備されたSQL文と、後からバインドされる値を管理するためのものです。もしSQL文に構文エラーなどがあり準備に失敗した場合はfalseを返しますが、PDOのエラーモードがPDO::ERRMODE_EXCEPTIONに設定されている場合、代わりにPDOExceptionがスローされエラーハンドリングが容易になります。

サンプルコードでは、データの挿入や取得時にINSERT INTO ... VALUES (:name, :email)やSELECT ... WHERE email = :emailのようにプレースホルダを用いてprepareしています。これにより、ユーザー入力値が直接SQLに組み込まれることを防ぎ、SQLインジェクション攻撃のリスクを排除します。準備したPDOStatementオブジェクトに対しては、executeメソッドでプレースホルダに対応する値をバインドしてSQLを実行します。同じPDOStatementオブジェクトを異なる値で複数回executeできるため、繰り返し処理においても効率的なデータ操作が可能です。

prepareメソッドは、SQLインジェクション攻撃を防ぐための必須機能です。ユーザーからの入力など、動的に変化する値をSQLに組み込む際は、必ず:nameのようなプレースホルダを使い、prepareとexecuteで安全に値をバインドしてください。これにより、SQL文とデータが分離され、セキュリティが向上します。また、一度準備したSQL文は異なる値をバインドして複数回実行できるため、繰り返し処理でのパフォーマンス向上も期待できます。PDO::setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION)を設定すると、エラー発生時にPDOExceptionがスローされ、エラーハンドリングが容易になります。この設定がない場合、prepareはエラー時にfalseを返すため、戻り値の確認が必要です。サンプルコードの:memory:は一時的なデータベースなので、データを永続化したい場合はデータベースファイルのパスを指定してください。