【PHP8.x】prepareメソッドの使い方

Copy
1<?php
2
3/**
4 * SQLite3のprepareとexecuteを使用してデータベースを操作するサンプル関数。
5 *
6 * この関数は、インメモリのSQLite3データベースに接続し、
7 * ユーザーテーブルを作成します。その後、プリペアドステートメントを
8 * 使用して安全にデータを挿入し、そのデータを取得して表示します。
9 */
10function runSQLite3PreparedStatementExample(): void
11{
12    try {
13        // 1. データベースに接続します。
14        // ':memory:' を指定すると、ファイルを作成せずにメモリ上でデータベースを扱えます。
15        $db = new SQLite3(':memory:');
16
17        // 2. ユーザー情報を保存するテーブルを作成します。
18        $db->exec('CREATE TABLE users (
19            id INTEGER PRIMARY KEY,
20            name TEXT NOT NULL,
21            email TEXT NOT NULL UNIQUE
22        )');
23
24        // --- データ挿入処理 ---
25
26        // 3. 実行したいSQL文を準備します。
27        // SQLインジェクション攻撃を防ぐため、値は直接埋め込まず、
28        // 名前付きプレースホルダ (:name, :email) を使用します。
29        $insertSql = 'INSERT INTO users (name, email) VALUES (:name, :email)';
30        $stmt = $db->prepare($insertSql);
31
32        // prepareが失敗した場合は false が返るので、エラーチェックを行います。
33        if ($stmt === false) {
34            throw new Exception('INSERT文の準備に失敗しました。');
35        }
36
37        // 4. bindValue() を使って、プレースホルダに実際の値を紐付け（バインド）します。
38        $stmt->bindValue(':name', 'Taro Yamada', SQLITE3_TEXT);
39        $stmt->bindValue(':email', 'taro@example.com', SQLITE3_TEXT);
40
41        // 5. execute() を使って、準備されたSQL文を実行します。
42        $stmt->execute();
43        echo "新しいユーザー (ID: " . $db->lastInsertRowID() . ") を追加しました。\n\n";
44
45
46        // --- データ取得処理 ---
47
48        // 6. データを取得するためのSELECT文を準備します。
49        $selectSql = 'SELECT id, name, email FROM users WHERE id = :id';
50        $stmt = $db->prepare($selectSql);
51
52        if ($stmt === false) {
53            throw new Exception('SELECT文の準備に失敗しました。');
54        }
55
56        // 7. 検索したいユーザーIDをプレースホルダにバインドします。
57        $targetId = 1;
58        $stmt->bindValue(':id', $targetId, SQLITE3_INTEGER);
59
60        // 8. SQLクエリを実行し、結果セットを取得します。
61        $result = $stmt->execute();
62        
63        if ($result === false) {
64            throw new Exception('SELECT文の実行に失敗しました。');
65        }
66
67        echo "ID: {$targetId} のユーザー情報を取得します。\n";
68        // fetchArray() を使って、結果を1行ずつ連想配列として取得し、表示します。
69        while ($row = $result->fetchArray(SQLITE3_ASSOC)) {
70            print_r($row);
71        }
72
73    } catch (Exception $e) {
74        // エラーが発生した場合はメッセージを表示します。
75        echo "エラー: " . $e->getMessage() . "\n";
76    } finally {
77        // 9. データベース接続を閉じます。
78        // $stmt や $result などのリソースは、接続が閉じられると自動的に解放されます。
79        if (isset($db)) {
80            $db->close();
81        }
82    }
83}
84
85// サンプル関数を実行します。
86runSQLite3PreparedStatementExample();
87

PHP 8のSQLite3::prepareメソッドは、SQLiteデータベースに対してSQLクエリを安全かつ効率的に実行するための「プリペアドステートメント」を作成する際に使用されます。このメソッドは、string $queryとしてSQL文を受け取りますが、セキュリティ上の理由から、値の部分には:nameのような名前付きプレースホルダを使用します。これにより、外部からの不正なデータ入力によるSQLインジェクション攻撃を防ぐことができます。

prepareが正常に実行されると、SQLite3Stmtクラスのインスタンスが戻り値として返されます。これは準備されたステートメントオブジェクトであり、このオブジェクトを通じて、プレースホルダに実際の値を紐付けるbindValueメソッドや、SQLクエリを実行するexecuteメソッドを呼び出します。もしprepareの実行に失敗した場合はfalseが返されるため、戻り値の確認が重要です。

サンプルコードでは、メモリ上に作成されたSQLiteデータベースに対し、INSERT文とSELECT文をそれぞれprepareで準備しています。その後、bindValueでプレースホルダに値をバインドし、executeで実際にデータベース操作を実行しています。この一連の処理により、安全なデータ挿入と取得が行われ、データベース操作の信頼性と効率性が向上します。

Copy
1<?php
2
3/**
4 * SQLite3::prepare メソッドの使用例を示します。
5 *
6 * この関数は、SQLiteデータベースに接続し、プリペアドステートメントを使用してデータを挿入・検索します。
7 * プリペアドステートメントは、SQLインジェクション攻撃を防ぎ、複数のSQLクエリを安全かつ効率的に実行するのに役立ちます。
8 *
9 * システムエンジニアを目指す初心者向けに、基本的なデータベース操作のフローと
10 * プリペアドステートメントの利用方法を簡潔に示します。
11 */
12function demonstrateSqlitePrepare(): void
13{
14    // 1. データベースファイルへの接続
15    // 'my_database.db' という名前のSQLiteデータベースファイルを開きます。
16    // ファイルが存在しない場合は新しく作成されます。
17    try {
18        $db = new SQLite3('my_database.db');
19    } catch (Exception $e) {
20        echo "エラー: データベース接続に失敗しました: " . $e->getMessage() . "\n";
21        return;
22    }
23
24    // 2. テーブルの作成 (もし存在しなければ)
25    // 'users' テーブルを作成します。
26    // 'id' は自動増分、'name' と 'email' は必須、'email' は一意制約を持ちます。
27    $createTableSql = '
28        CREATE TABLE IF NOT EXISTS users (
29            id INTEGER PRIMARY KEY AUTOINCREMENT,
30            name TEXT NOT NULL,
31            email TEXT NOT NULL UNIQUE
32        )
33    ';
34    $db->exec($createTableSql);
35
36    // 3. INSERT文のプリペアドステートメントの準備
37    // プレースホルダ '?' を使用してSQLクエリを準備します。
38    // これにより、SQLインジェクションのリスクを軽減し、値を安全に挿入できます。
39    $insertQuery = 'INSERT INTO users (name, email) VALUES (?, ?)';
40    $stmt = $db->prepare($insertQuery);
41
42    if (!$stmt) {
43        echo "エラー: INSERT用プリペアドステートメントの準備に失敗しました (" . $db->lastErrorMsg() . ").\n";
44        $db->close();
45        return;
46    }
47
48    // 4. パラメータのバインドと実行 (データの挿入)
49    // 同じプリペアドステートメントを再利用して、複数のデータを安全に挿入します。
50    $usersToInsert = [
51        ['Alice', 'alice@example.com'],
52        ['Bob', 'bob@example.com'],
53        ['Charlie', 'charlie@example.com'],
54        // 重複メールアドレスの例 (一意制約により挿入失敗が期待されます)
55        ['Duplicate Alice', 'alice@example.com'],
56    ];
57
58    foreach ($usersToInsert as $userData) {
59        $name = $userData[0];
60        $email = $userData[1];
61
62        // プリペアドステートメントのプレースホルダに値をバインドします。
63        // 第1引数はプレースホルダのインデックス (1から開始)、第2引数は値、第3引数は値の型です。
64        $stmt->bindValue(1, $name, SQLITE3_TEXT);
65        $stmt->bindValue(2, $email, SQLITE3_TEXT);
66
67        // ステートメントを実行します。
68        $result = $stmt->execute();
69
70        if ($result === false) {
71            echo "失敗: ユーザー '{$name}' ('{$email}') の挿入に失敗しました (" . $db->lastErrorMsg() . ").\n";
72        } else {
73            echo "成功: ユーザー '{$name}' ('{$email}') を挿入しました。\n";
74            $result->finalize(); // 結果セットを解放します
75        }
76    }
77
78    // プリペアドステートメントをクローズします。
79    $stmt->close();
80
81    // 5. SELECT文のプリペアドステートメントの準備と実行 (データの検索)
82    // 特定の条件でデータを検索する際にもプリペアドステートメントを使用できます。
83    $selectQuery = 'SELECT id, name, email FROM users WHERE name LIKE ? ORDER BY id';
84    $stmtSelect = $db->prepare($selectQuery);
85
86    if (!$stmtSelect) {
87        echo "エラー: SELECT用プリペアドステートメントの準備に失敗しました (" . $db->lastErrorMsg() . ").\n";
88        $db->close();
89        return;
90    }
91
92    $searchPattern = '%a%'; // 名前に 'a' を含むユーザーを検索
93    $stmtSelect->bindValue(1, $searchPattern, SQLITE3_TEXT); // プレースホルダに検索パターンをバインド
94
95    // 検索を実行し、結果セットを取得します。
96    $results = $stmtSelect->execute();
97
98    if ($results === false) {
99        echo "エラー: ユーザーの検索に失敗しました (" . $db->lastErrorMsg() . ").\n";
100    } else {
101        echo "\n--- 検索結果 (名前に '{$searchPattern}' を含むユーザー) ---\n";
102        $foundCount = 0;
103        while ($row = $results->fetchArray(SQLITE3_ASSOC)) {
104            echo "  ID: {$row['id']}, 名前: {$row['name']}, メール: {$row['email']}\n";
105            $foundCount++;
106        }
107        if ($foundCount === 0) {
108            echo "  該当するユーザーは見つかりませんでした。\n";
109        }
110        $results->finalize(); // 結果セットを解放します
111    }
112
113    // プリペアドステートメントをクローズします。
114    $stmtSelect->close();
115
116    // 6. データベース接続のクローズ
117    // 開いたデータベース接続を閉じます。
118    $db->close();
119
120    // 注: このサンプル実行後、作成された 'my_database.db' ファイルは残ります。
121    // 必要に応じて手動で削除してください。
122    // 例として作成したデータベースファイルをクリーンアップしたい場合、以下の行をコメント解除してください。
123    // @unlink('my_database.db');
124    // echo "\nデータベースファイル 'my_database.db' を削除しました。\n";
125}
126
127// 関数を実行して、プリペアドステートメントの動作を確認します。
128demonstrateSqlitePrepare();

PHP 8のSQLite3::prepareメソッドは、SQLiteデータベースに対してSQLクエリを安全かつ効率的に実行するための機能です。このメソッドは、引数として受け取ったSQL文（string $query）を事前に解析し、後で動的な値（パラメータ）をバインドできるよう準備します。SQL文には「?」のようなプレースホルダを含めることができ、これによりSQLインジェクション攻撃を防ぎながら、プログラムから動的に供給されるデータを安全に扱えます。

メソッドが成功するとSQLite3Stmtオブジェクトが返され、このオブジェクトを通じてパラメータのバインドやクエリの実行を行います。準備に失敗した場合はfalseが返されます。サンプルコードでは、まずSQLite3クラスでデータベースに接続し、テーブルを作成しています。その後のデータの挿入（INSERT文）や検索（SELECT文）の処理でprepareメソッドが使用されています。

INSERT文の例では、一度prepareでステートメントを準備した後、bindValueメソッドで異なるユーザーデータを複数回バインドし、executeメソッドで実行しています。これにより、同じ構造のSQL文を繰り返し実行する際の安全性が高まり、処理も効率的になります。SELECT文でも同様にprepareを使用し、検索条件をバインドしてから実行することで、安全にデータを取得しています。最後に、データベース接続を閉じることでリソースを解放しています。このように、prepareはデータベース操作の安全性と効率性を高める上で非常に重要な基盤となる機能です。