【PHP8.x】PDOStatement::bindParam()メソッドの使い方

bindParamメソッドの使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年01月14日

基本的な使い方

bindParamメソッドは、PHPのPDO拡張機能において、データベースとの安全かつ効率的な対話を実現するPDOStatementクラスに属するメソッドです。このメソッドは、プリペアドステートメントを使用する際に、SQLクエリ内に記述されたプレースホルダー（例えば?や:nameなど）とPHPの変数を「参照渡し」で関連付けるために利用されます。

具体的には、SQLクエリを実行する前に、クエリ内の特定の場所に入る値を保持するPHP変数をbindParamメソッドを使って指定します。bindParamは変数を直接紐付けるため、メソッド呼び出し後に変数の値が変更された場合でも、変更後の値が自動的にSQLクエリに適用されます。これにより、同じプリペアドステートメントを、変数の値を更新しながら複数回実行するような場合に非常に効率的です。

このメソッドの主な利点は、セキュリティとパフォーマンスの向上にあります。SQLインジェクション攻撃のリスクを大幅に軽減し、データベースを安全に保つことができます。また、一度準備されたSQLクエリを使い回せるため、SQLの解析処理を何度も行う必要がなくなり、特に大量のデータを処理する際のパフォーマンスが向上します。bindParamメソッドは、システムエンジニアが堅牢で効率的なデータベースアプリケーションを構築する上で不可欠なツールです。

構文(syntax)


1<?php
2class PDOStatementExample {
3    public function bindParam(string|int $param, mixed &$var, int $type = PDO::PARAM_STR, int $maxLength = 0, mixed $driverOptions = null): bool
4    {
5        return false;
6    }
7}

引数(parameters)

string|int $param, mixed &$var, int $type = PDO::PARAM_STR, int $maxLength = 0, mixed $driverOptions = null

string|int $param: プリペアドステートメント内のプレースホルダーの名前または番号。
mixed &$var: バインドするPHP変数の参照。
int $type = PDO::PARAM_STR: パラメーターのデータ型を指定するPDO定数。
int $maxLength = 0: パラメーターの最大長。0は無制限を意味します。
mixed $driverOptions = null: ドライバー固有のオプション。

戻り値(return)

bool

PDOStatement::bindParamは、バインド操作が成功した場合は true を、失敗した場合は false を返します。

サンプルコード

PHP bindParam と bindValue の違いを理解する


1<?php
2
3/**
4 * PDOStatement::bindParam と PDOStatement::bindValue の違いを示すサンプルコード。
5 *
6 * bindParam は変数を参照渡しでバインドするため、execute() が呼ばれる時点での変数の値を使用します。
7 * bindValue は値をコピーしてバインドするため、bindValue() が呼ばれた時点での変数の値を使用します。
8 *
9 * このコードは、インメモリのSQLiteデータベースを使用し、PHP が動作する環境で単体で実行可能です。
10 */
11try {
12    // 1. インメモリのSQLiteデータベースに接続
13    $pdo = new PDO('sqlite::memory:');
14    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
15    $pdo->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
16
17    echo "--- データベース接続成功 ---" . PHP_EOL;
18
19    // 2. テスト用のテーブルを作成
20    $pdo->exec(
21        "CREATE TABLE IF NOT EXISTS users (
22            id INTEGER PRIMARY KEY AUTOINCREMENT,
23            name VARCHAR(50) NOT NULL
24        );"
25    );
26    echo "--- users テーブル作成成功 ---" . PHP_EOL . PHP_EOL;
27
28    // 3. プリペアドステートメントの準備
29    $stmt = $pdo->prepare("INSERT INTO users (name) VALUES (:name)");
30
31    echo "--- bindParam の使用例 ---" . PHP_EOL;
32
33    // 4. bindParam のデモンストレーション
34    $userNameForParam = 'Alice';
35    // ':name' パラメータを $userNameForParam 変数に参照渡しでバインド
36    $stmt->bindParam(':name', $userNameForParam, PDO::PARAM_STR);
37
38    echo "  bindParam で '$userNameForParam' をバインド後、最初の実行..." . PHP_EOL;
39    $stmt->execute(); // この時点で $userNameForParam は 'Alice' なので、'Alice' が挿入される
40    echo "  => 'Alice' が挿入されました。" . PHP_EOL;
41
42    // バインドした変数の値を変更
43    $userNameForParam = 'Bob';
44    echo "  bindParam でバインドした変数を '$userNameForParam' に変更後、再実行..." . PHP_EOL;
45    // execute() 時点での $userNameForParam は 'Bob' なので、'Bob' が挿入される
46    $stmt->execute();
47    echo "  => 'Bob' が挿入されました (変数の変更が反映される)。" . PHP_EOL . PHP_EOL;
48
49    echo "--- bindValue の使用例 ---" . PHP_EOL;
50
51    // 5. bindValue のデモンストレーション
52    $userNameForValue = 'Charlie';
53    // ':name' パラメータを $userNameForValue の値（'Charlie'）でバインド
54    // bindValue は値をコピーするため、バインド後に $userNameForValue の値を変更しても影響しない
55    $stmt->bindValue(':name', $userNameForValue, PDO::PARAM_STR);
56
57    echo "  bindValue で '$userNameForValue' をバインド後、最初の実行..." . PHP_EOL;
58    $stmt->execute(); // この時点で $userNameForValue は 'Charlie' なので、'Charlie' が挿入される
59    echo "  => 'Charlie' が挿入されました。" . PHP_EOL;
60
61    // バインドした変数の値を変更
62    $userNameForValue = 'David';
63    echo "  bindValue でバインドした変数を '$userNameForValue' に変更後、再実行..." . PHP_EOL;
64    // execute() 時点でもバインドされた値は 'Charlie' なので、'Charlie' が挿入される
65    $stmt->execute();
66    echo "  => 'Charlie' が挿入されました (変数の変更は反映されない)。" . PHP_EOL . PHP_EOL;
67
68    echo "--- 挿入されたデータを確認 ---" . PHP_EOL;
69
70    // 6. 挿入されたすべてのデータを取得して表示
71    $results = $pdo->query("SELECT id, name FROM users ORDER BY id")->fetchAll();
72
73    foreach ($results as $row) {
74        echo "  ID: " . $row['id'] . ", Name: " . $row['name'] . PHP_EOL;
75    }
76
77    echo PHP_EOL . "--- 実行完了 ---" . PHP_EOL;
78
79} catch (PDOException $e) {
80    echo "データベースエラー: " . $e->getMessage() . PHP_EOL;
81} catch (Exception $e) {
82    echo "エラー: " . $e->getMessage() . PHP_EOL;
83}
84

PHPのPDOStatement::bindParamは、データベース操作でセキュリティを高めるプリペアドステートメントにおいて、SQL文のプレースホルダーに変数をバインドするメソッドです。引数には、バインドするプレースホルダー名（例: :name）または位置（例: 1）、バインドしたいPHP変数（&$var）、変数のデータ型（例: PDO::PARAM_STR）などを指定し、成功時にはtrue、失敗時にはfalseを返します。

このbindParamの重要な特徴は、第二引数に変数を「参照渡し」でバインドする点です。これは、bindParamが呼び出された時点の変数の値ではなく、実際にPDOStatement::execute()メソッドが実行される時点での変数の値がデータベースに渡されることを意味します。

これに対し、よく比較されるPDOStatement::bindValueは、変数の「値そのもの」をコピーしてバインドします。そのため、bindValueが呼び出された後に元の変数の値が変更されても、データベースに渡される値は変わりません。サンプルコードでは、bindParamでバインドした変数$userNameForParamとbindValueでバインドした変数$userNameForValueの値を、execute()前にそれぞれ変更することで、この参照渡しと値渡しによる動作の違いを明確に示しています。この挙動の違いを理解することは、予期せぬデータベース操作を防ぐ上で非常に重要です。

bindParamは変数を参照渡しでバインドするため、execute()が呼ばれた時点での変数の値がSQLに渡されます。このため、bindParam後に変数の値を変更すると、変更後の値が適用されることに注意が必要です。特にループ処理などで複数回SQLを実行する場合は、変数の更新タイミングとexecute()の呼び出しタイミングをよく確認してください。

一方、bindValueは値をコピーしてバインドするため、bindValue()が呼ばれた時点の値が固定されます。その後、変数の値を変更してもSQLに渡される値には影響しません。どちらを使うかは用途によりますが、意図しない値の変更を避けたい場合はbindValueが安全です。これらのメソッドは、SQLインジェクション攻撃を防ぐためのプリペアドステートメントで必須の機能ですので、適切に使い分けることが重要です。