>> PHP入門トップに戻る

PDO prepare プリペアドステートメントの使い方

今回はPDOのprepareメソッドについて説明します。

prepareメソッドはプリペアドステートメントと呼ばれるものを利用するための関数です。
プリペアドステートメントとは、SQL文を最初に用意しておいて、その後はクエリ内のパラメータの値だけを変更してクエリを実行できる機能のことです。
この機能を利用することでクエリの解析やコンパイル等にかかる時間は最初の一回だけで良くなり、より高速に実行することができます。
また、SQLインジェクション対策に必要なパラメータのエスケープ処理も自動で行ってくれるため、安全かつ効率の良い開発が出来ます。

プリペアドステートメントを利用してクエリを実行するには以下の流れで実行していきます。
PDOオブジェクトの作成

prepareメソッドでSQL文をセット

bindValue or bindParamでパラメータに値をセット

executeメソッドでクエリを実行

fetch or fetchAllメソッドで結果を配列で取得
という流れになります。
以下のテーブルを見てください。
mysql> select * from test;
+----+------+------+
| id | num  | name |
+----+------+------+
|  1 |    1 | AAA  |
|  2 |   10 | BBB  |
|  3 |  100 | CCC  |
|  4 | 1000 | DDD  |
+----+------+------+
このテーブルのフィールドidとnumをSQL文のパラメータとしてnameを取得するクエリを実行してみましょう。
以下のコードを見てください。
	//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");
	
	//bindValueメソッドでパラメータをセット
	$stmt->bindValue(1,2);
	$stmt->bindValue(2,10);
	
	//executeでクエリを実行
	$stmt->execute();
	
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'];
これを実行すると、
「name = BBB」と表示されます。
実際に動かす時は自分でDBやテーブル、レコード等を作ってください。

コードの説明をしていきます。
まず、PDOオブジェクトを生成します。
次にprepareメソッドを実行しますが、引数にはSQL文を指定します。
このSQL内のパラメータを指定する部分には「:名前」か疑問符「?」のパラメータマークを書きます。
今回はidとnumの値を指定してデータを取り出したいので、

where id = ? and num = ?



と「?」のパラメータマークを用いて書きました。
ここを

where id = :id and num = :num



のようにコロンと好きな名前を組み合わせたものでも構いません。
名前の部分は別にカラム名と合わせる必要はありませんが、合わせた方が分かりやすいと思います。

prepareメソッドを実行すると「PDOStatement オブジェクト」が返って来ます。
以後はこのオブジェクトのメソッドを実行していきます。

prepareメソッドの後は、bindValueメソッドでパラメータに値をセットしていきます。
ここで先程書いたパラメータマークが関係してきます。
パタメータマークに疑問符「?」を使用した場合は、bindValueメソッドの第一引数にはSQL文内のパラメータマークの順番を表す数値を指定します。

where id = ? and num = ?



idの横の?マークに値をセットしたい場合は、このマークはSQL文内では左から数えて1番目なので、

bindValue(1,値);



と指定します。
numの横のマークは左から数えて2番目なので、

bindValue(2,値);



と指定します。

もしパラメータマークに、

where id = :id and num = :num



とコロンと名前を指定していた場合は、

bindValue("id",値);
bindValue("num",値);



と、「コロンを除いた名前だけ」を第一引数に指定します。
今回は数値をセットしてますが「文字列」も当然セットできます。
通常SQL内で文字列を比較する時は、引用符(シングルクォート)で文字列を囲みますが、プリペアドステートメントはパラメータを自動的に引用符で囲ってくれるので、自分で囲む必要がありません。
ですので、パラメータマークを引用符で囲む必要はありません。
bindValueの第二引数にも引用符は必要ありません。
引用符の中に書く部分だけを値に指定すればいいというわけです。

第二引数は実際にセットする値を指定します。
第三引数は必須ではないですが、セットした値の型を明示的に指定できます。
第三引数を指定しなかった場合は文字列型(PDO::PARAM_STR)としてセットすることになります。
型の種類は「定義済み定数」をご確認下さい。

値をセットした後はexecuteメソッドを実行します。
executeメソッドはクエリが成功した場合はTRUE、失敗時はFALSEを返します。

executeメソッドを実行した後はfetchメソッドを使うと配列で値を取得できます。
fetchメソッドの引数は必須ではなですが、「PDO::FETCH_ASSOC」「PDO::FETCH_NUM」などを指定できます。
デフォルトでは「PDO::FETCH_BOTH」が指定されます。
前者は配列の結果がカラム名の連想配列だけで返って来て、後者はカラムのindex番号だけで返って来ます。
今回は引数は指定してないので「PDO::FETCH_BOTH」、つまりカラム名でもindex番号でもアクセスできます。
コードでは、$result['name']でアクセスしてますが、$result[0]でも同じ値を取り出せます。

これでパラメータ付きクエリを実行して、DBから値を取り出すことが出来ました。
以降はこのSQL文を使いまわしてパタメータの値を変更して実行するだけでDBから値を取り出せます。
以下の様な感じになります。
	//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");

	//bindValueメソッドでパラメータをセット
	$stmt->bindValue(1,2);
	$stmt->bindValue(2,10);
	
	
	//executeでクエリを実行
	$stmt->execute();
	
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
	
	
	//以降はbindValueでパラメータをセットして実行するだけ
	$stmt->bindValue(1,3);
	$stmt->bindValue(2,100);
	
	$stmt->execute();
	
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
つまり、bindValueでパラメータを変更してexecuteで実行するだけです。
SQLは最初の時点で解析、コンパイルされているので高速に実行できるというわけです。

以上がプリペアドステートメントの説明になります。
今回はselect文で説明しましたが、もちろんupdate,insert,deleteでも同じことが出来ます。
それは他のページで説明しますのでそちらを参照してください。

補足:bindValueではなく配列で値をセット

プリペアドステートメントの値のセットはbindValueを使うと書きましたが、この関数を使わずにexecuteメソッドの引数に配列を使うことでセットする方法もあります。
パラメータマークに疑問符(?)を使った場合はその順番どおりの配列を作成して、executeメソッドに渡します。
//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");
	
	//疑問符(?)使った場合はその順番どおりに値をセットした配列を用意
	$array = array(2,10);
	
	//executeメソッドに配列を渡す。
	$stmt->execute($array);
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
一方、パラメータマークにコロンと名前を使った場合は、パラメータマークと値のペアの連想配列を作り、executeメソッドに渡します。
//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	//コロンと名前を使ったクエリの場合
	$stmt = $pdo->prepare("select name from test where id = :id and num = :num");
	
	//パラメータマークと値のペタの連想配列を作成
	$array = array("id"=>2,"num"=>10);
	
	//executeメソッドに配列を渡す。
	$stmt->execute($array);
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
	
コードを見ていただければ詳しい説明がなくても理解できると思います。
個人的にはbindValueを使ったほうが明確に値をセットしてる感じがするので、bindValueを使うことをおすすめします。

>> 【PDO bindValueとbindParamの違い】に進む
>> PHP入門トップに戻る