【PHP8.x】PDOStatement::execute()メソッドの使い方

Copy
1<?php
2
3/**
4 * PDOStatement::execute() メソッドの引数を使ったデータ挿入の例。
5 *
6 * この関数は、PDOを使ってインメモリSQLiteデータベースに接続し、
7 * ユーザーデータをテーブルに挿入するプロセスを示します。
8 * execute() メソッドに配列形式で引数を渡す方法がポイントです。
9 * システムエンジニアを目指す初心者の方にも理解しやすいように、
10 * プレースホルダ（名前付きパラメータ）と引数のマッピングを明確にしています。
11 */
12function demonstratePdoExecuteWithParams(): void
13{
14    // 外部依存をなくすため、インメモリSQLiteデータベースを使用します。
15    // ':memory:' は、データベースがメモリ上にのみ存在し、スクリプト終了時に破棄されることを意味します。
16    $dsn = 'sqlite::memory:';
17
18    try {
19        // データベースへの接続を確立
20        $pdo = new PDO($dsn);
21
22        // エラーモードを例外に設定。これにより、SQLエラーが発生した場合に
23        // PDOException がスローされ、try-catch ブロックで捕捉できるようになります。
24        $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
25
26        echo "データベースに接続しました。\n";
27
28        // 'users' テーブルを作成するSQLを実行
29        $pdo->exec("
30            CREATE TABLE IF NOT EXISTS users (
31                id INTEGER PRIMARY KEY AUTOINCREMENT,
32                name TEXT NOT NULL,
33                email TEXT UNIQUE NOT NULL
34            );
35        ");
36        echo "テーブル 'users' を作成しました。\n";
37
38        // 挿入するデータ
39        // 連想配列のキーは、SQLのプレースホルダ名（コロンを除く）に対応させます。
40        $userData = [
41            'name' => 'Alice',
42            'email' => 'alice@example.com'
43        ];
44
45        // プリペアドステートメントの準備
46        // ユーザー入力を直接SQLに組み込むのではなく、プレースホルダ (:name, :email) を使用することで、
47        // SQLインジェクション攻撃を防ぎ、セキュリティを向上させます。
48        $stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
49
50        echo "データの挿入を準備中...\n";
51
52        // PDOStatement::execute() メソッドを実行。
53        // ここで `$params` 引数として、プレースホルダに対応する値の配列を渡します。
54        // PDOは、この配列のキーとプレースホルダ名をマッチングさせて値をバインドします。
55        $success = $stmt->execute($userData);
56
57        if ($success) {
58            echo "データが正常に挿入されました: " . $userData['name'] . "\n";
59        } else {
60            echo "データの挿入に失敗しました。\n";
61        }
62
63        // 挿入されたデータを検証のために取得し、表示
64        echo "\n挿入されたデータ:\n";
65        $selectStmt = $pdo->query("SELECT id, name, email FROM users");
66        $results = $selectStmt->fetchAll(PDO::FETCH_ASSOC);
67
68        if (empty($results)) {
69            echo "データが見つかりませんでした。\n";
70        } else {
71            foreach ($results as $row) {
72                echo "ID: " . $row['id'] . ", 名前: " . $row['name'] . ", メール: " . $row['email'] . "\n";
73            }
74        }
75
76    } catch (PDOException $e) {
77        // PDO関連のエラー（接続失敗、SQL実行エラーなど）を捕捉し、メッセージを表示
78        echo "データベースエラーが発生しました: " . $e->getMessage() . "\n";
79    } catch (Exception $e) {
80        // その他の予期せぬエラーを捕捉し、メッセージを表示
81        echo "予期せぬエラーが発生しました: " . $e->getMessage() . "\n";
82    } finally {
83        // データベース接続を閉じる（PHPスクリプト終了時に自動的に閉じられることが多いですが、明示的にnullを代入することも可能です）
84        $pdo = null;
85        echo "\nデータベース接続を閉じました。\n";
86    }
87}
88
89// 関数を実行して、サンプルコードの動作を確認します。
90demonstratePdoExecuteWithParams();

PHPのPDOStatement::execute()メソッドは、データベースに対するSQL文を実行するために使用されます。特に、事前に準備されたSQL文（プリペアドステートメント）を実行する際に活用され、安全なデータ操作を実現します。このメソッドの引数?array $params = nullは、SQL文内の「プレースホルダ」に渡す値を配列形式で指定します。例えば、サンプルコードにある:nameや:emailといった名前付きプレースホルダを使用した場合、引数に渡す連想配列のキー（例: 'name', 'email'）をプレースホルダ名と一致させることで、対応する値が自動的にバインドされます。これにより、ユーザーからの入力値を直接SQLに組み込むことによるSQLインジェクション攻撃を防ぎ、アプリケーションのセキュリティを大幅に向上させることが可能です。メソッドの戻り値はbool型で、SQLの実行が成功した場合はtrue、失敗した場合はfalseを返します。サンプルコードは、この引数を使ってユーザーデータを安全にデータベースへ挿入する具体的な例を示しており、プリペアドステートメントとexecute()メソッドの連携が、いかにセキュアで効率的なデータ操作に貢献するかを理解いただけます。

Copy
1<?php
2
3// データベース接続情報 (SQLite インメモリデータベースを使用)
4// 実際のアプリケーションでは、データベース接続情報を適切に設定してください。
5const DSN = 'sqlite::memory:';
6
7/**
8 * PDOStatement::execute メソッドの使用例を示します。
9 * execute メソッドは、プリペアドステートメントを実行し、成功した場合は true、
10 * 失敗した場合は false を返します。
11 * ただし、PDO::ERRMODE_EXCEPTION が設定されている場合、SQL実行エラーは通常
12 * PDOException として捕捉されます。この例では、成功時の戻り値の確認と、
13 * データベースエラー発生時の例外処理を示します。
14 */
15function runPdoExecuteExample(): void
16{
17    $pdo = null; // PDOオブジェクトを初期化
18    try {
19        // 1. データベースへの接続を確立します。
20        // PDO::ATTR_ERRMODE を PDO::ERRMODE_EXCEPTION に設定することで、
21        // SQLエラーが発生した際にPDOExceptionがスローされるようになります。
22        $pdo = new PDO(DSN);
23        $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
24
25        echo "データベースに接続しました。\n";
26
27        // 2. テスト用のテーブルを作成します。
28        $createTableSql = "
29            CREATE TABLE IF NOT EXISTS users (
30                id INTEGER PRIMARY KEY AUTOINCREMENT,
31                name TEXT NOT NULL,
32                email TEXT NOT NULL UNIQUE
33            );
34        ";
35        // exec メソッドはSELECT以外のSQL文を直接実行し、影響を受けた行数を返します。
36        $pdo->exec($createTableSql);
37        echo "テーブル 'users' を作成しました (または既に存在します)。\n";
38
39        // 3. データを挿入するためのプリペアドステートメントを準備します。
40        // プレースホルダー (:name, :email) を使用することで、SQLインジェクションを防ぎます。
41        $insertSql = "INSERT INTO users (name, email) VALUES (:name, :email)";
42        $stmt = $pdo->prepare($insertSql);
43
44        // 4. execute メソッドを使用してクエリを実行し、戻り値を確認します。
45        // 引数には、プレースホルダーに対応する値の連想配列を渡します。
46        $params1 = [
47            ':name' => 'John Doe',
48            ':email' => 'john.doe@example.com'
49        ];
50        // execute の戻り値は bool 型です (成功: true, 失敗: false)。
51        $success1 = $stmt->execute($params1);
52
53        if ($success1) {
54            echo "1件目のデータ挿入に成功しました。\n";
55        } else {
56            // PDO::ERRMODE_EXCEPTION が設定されている場合、通常ここには到達しません。
57            // 失敗時はPDOExceptionがスローされ、catchブロックで処理されます。
58            echo "1件目のデータ挿入に失敗しました。エラー情報: " . implode(', ', $stmt->errorInfo()) . "\n";
59        }
60
61        // 別のデータを挿入する例
62        $params2 = [
63            ':name' => 'Jane Smith',
64            ':email' => 'jane.smith@example.com'
65        ];
66        $success2 = $stmt->execute($params2);
67
68        if ($success2) {
69            echo "2件目のデータ挿入に成功しました。\n";
70        } else {
71            echo "2件目のデータ挿入に失敗しました。エラー情報: " . implode(', ', $stmt->errorInfo()) . "\n";
72        }
73
74        // 5. 意図的に失敗する例（UNIQUE制約違反）
75        // 同じメールアドレスを挿入しようとすると、PDOExceptionがスローされます。
76        echo "\n意図的にUNIQUE制約違反を試みます...\n";
77        $params3 = [
78            ':name' => 'Another John',
79            ':email' => 'john.doe@example.com' // 既に存在するメールアドレス
80        ];
81        // この execute 呼び出しは例外をスローするため、以下の行には進まずcatchブロックへ移ります。
82        $stmt->execute($params3);
83        echo "3件目のデータ挿入に成功しました。(このメッセージは通常表示されません)\n";
84
85    } catch (PDOException $e) {
86        // データベース関連のエラーを捕捉します。
87        echo "データベースエラーが発生しました: " . $e->getMessage() . "\n";
88        echo "エラーコード: " . $e->getCode() . "\n";
89        // 実際のアプリケーションでは、エラーログへの記録なども検討します。
90    } finally {
91        // データベース接続を閉じる (PHPスクリプト終了時に自動で閉じられますが、明示的にnullにすることもできます)
92        $pdo = null;
93        echo "\nデータベース接続を閉じました。\n";
94    }
95}
96
97// 関数を実行して、サンプルコードの動作を確認します。
98runPdoExecuteExample();

PHPのPDOStatement::executeメソッドは、SQLインジェクション攻撃からアプリケーションを保護するために用いられる「プリペアドステートメント」を実行する際に使用します。これは、あらかじめ定義されたSQL文の型に、後から安全にデータを埋め込んで実行する仕組みです。

引数$paramsには、SQL文中に設定した:nameのようなプレースホルダーに対応するデータを、連想配列として渡します。これにより、データベースへ送信される前に、これらの値がSQL文に安全に組み込まれます。引数を省略するかnullを渡すと、プレースホルダーがないSQL文や、以前に設定された値で実行されます。

メソッドの戻り値はbool型で、SQL文が正常に実行されればtrueを、何らかの理由で失敗した場合はfalseを返します。ただし、多くのPHPアプリケーションでは、データベースエラー発生時にPDOExceptionをスローするように設定（PDO::ERRMODE_EXCEPTION）するため、通常はfalseではなく例外としてエラーが捕捉されるのが一般的です。

このサンプルコードでは、データベースに接続後、INSERT文をプリペアドステートメントとして準備し、executeメソッドでデータを挿入する一連の流れを示しています。成功時の戻り値確認に加え、同じメールアドレスを挿入することで発生するUNIQUE制約違反のようなデータベースエラーがPDOExceptionとして捕捉される様子も示されており、堅牢なアプリケーション開発におけるエラーハンドリングの重要性を理解できます。