>> PHP入門トップに戻る

PDO prepare プリペアドステートメントの使い方

今回はPDOのprepareメソッドについて説明します。

prepareメソッドはプリペアドステートメントと呼ばれるものを利用するための関数です。
プリペアドステートメントとは、SQL文を最初に用意しておいて、その後はクエリ内のパラメータの値だけを変更してクエリを実行できる機能のことです。
この機能を利用することでクエリの解析やコンパイル等にかかる時間は最初の一回だけで良くなり、より高速に実行することができます。
また、SQLインジェクション対策に必要なパラメータのエスケープ処理も自動で行ってくれるため、安全かつ効率の良い開発が出来ます。

プリペアドステートメントを利用してクエリを実行するには以下の流れで実行していきます。
PDOオブジェクトの作成

prepareメソッドでSQL文をセット

bindValue or bindParamでパラメータに値をセット

executeメソッドでクエリを実行

fetch or fetchAllメソッドで結果を配列で取得
という流れになります。
以下のテーブルを見てください。
mysql> select * from test;
+----+------+------+
| id | num  | name |
+----+------+------+
|  1 |    1 | AAA  |
|  2 |   10 | BBB  |
|  3 |  100 | CCC  |
|  4 | 1000 | DDD  |
+----+------+------+
このテーブルのフィールドidとnumをSQL文のパラメータとしてnameを取得するクエリを実行してみましょう。
以下のコードを見てください。
	//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");
	
	//bindValueメソッドでパラメータをセット
	$stmt->bindValue(1,2);
	$stmt->bindValue(2,10);
	
	//executeでクエリを実行
	$stmt->execute();
	
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'];
これを実行すると、
「name = BBB」と表示されます。
実際に動かす時は自分でDBやテーブル、レコード等を作ってください。

コードの説明をしていきます。
まず、PDOオブジェクトを生成します。
次にprepareメソッドを実行しますが、引数にはSQL文を指定します。
このSQL内のパラメータを指定する部分には「:名前」か疑問符「?」のパラメータマークを書きます。
今回はidとnumの値を指定してデータを取り出したいので、

where id = ? and num = ?



と「?」のパラメータマークを用いて書きました。
ここを

where id = :id and num = :num



のようにコロンと好きな名前を組み合わせたものでも構いません。
名前の部分は別にカラム名と合わせる必要はありませんが、合わせた方が分かりやすいと思います。

prepareメソッドを実行すると「PDOStatement オブジェクト」が返って来ます。
以後はこのオブジェクトのメソッドを実行していきます。

prepareメソッドの後は、bindValueメソッドでパラメータに値をセットしていきます。
ここで先程書いたパラメータマークが関係してきます。
パタメータマークに疑問符「?」を使用した場合は、bindValueメソッドの第一引数にはSQL文内のパラメータマークの順番を表す数値を指定します。

where id = ? and num = ?



idの横の?マークに値をセットしたい場合は、このマークはSQL文内では左から数えて1番目なので、

bindValue(1,値);



と指定します。
numの横のマークは左から数えて2番目なので、

bindValue(2,値);



と指定します。

もしパラメータマークに、

where id = :id and num = :num



とコロンと名前を指定していた場合は、

bindValue("id",値);
bindValue("num",値);



と、「コロンを除いた名前だけ」を第一引数に指定します。
今回は数値をセットしてますが「文字列」も当然セットできます。
通常SQL内で文字列を比較する時は、引用符(シングルクォート)で文字列を囲みますが、プリペアドステートメントはパラメータを自動的に引用符で囲ってくれるので、自分で囲む必要がありません。
ですので、パラメータマークを引用符で囲む必要はありません。
bindValueの第二引数にも引用符は必要ありません。
引用符の中に書く部分だけを値に指定すればいいというわけです。

第二引数は実際にセットする値を指定します。
第三引数は必須ではないですが、セットした値の型を明示的に指定できます。
第三引数を指定しなかった場合は文字列型(PDO::PARAM_STR)としてセットすることになります。
型の種類は「定義済み定数」をご確認下さい。

値をセットした後はexecuteメソッドを実行します。
executeメソッドはクエリが成功した場合はTRUE、失敗時はFALSEを返します。

executeメソッドを実行した後はfetchメソッドを使うと配列で値を取得できます。
fetchメソッドの引数は必須ではなですが、「PDO::FETCH_ASSOC」「PDO::FETCH_NUM」などを指定できます。
デフォルトでは「PDO::FETCH_BOTH」が指定されます。
前者は配列の結果がカラム名の連想配列だけで返って来て、後者はカラムのindex番号だけで返って来ます。
今回は引数は指定してないので「PDO::FETCH_BOTH」、つまりカラム名でもindex番号でもアクセスできます。
コードでは、$result['name']でアクセスしてますが、$result[0]でも同じ値を取り出せます。

これでパラメータ付きクエリを実行して、DBから値を取り出すことが出来ました。
以降はこのSQL文を使いまわしてパタメータの値を変更して実行するだけでDBから値を取り出せます。
以下の様な感じになります。
	//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");

	//bindValueメソッドでパラメータをセット
	$stmt->bindValue(1,2);
	$stmt->bindValue(2,10);
	
	
	//executeでクエリを実行
	$stmt->execute();
	
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
	
	
	//以降はbindValueでパラメータをセットして実行するだけ
	$stmt->bindValue(1,3);
	$stmt->bindValue(2,100);
	
	$stmt->execute();
	
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
つまり、bindValueでパラメータを変更してexecuteで実行するだけです。
SQLは最初の時点で解析、コンパイルされているので高速に実行できるというわけです。

以上がプリペアドステートメントの説明になります。
今回はselect文で説明しましたが、もちろんupdate,insert,deleteでも同じことが出来ます。
それは他のページで説明しますのでそちらを参照してください。

補足:bindValueではなく配列で値をセット

プリペアドステートメントの値のセットはbindValueを使うと書きましたが、この関数を使わずにexecuteメソッドの引数に配列を使うことでセットする方法もあります。
パラメータマークに疑問符(?)を使った場合はその順番どおりの配列を作成して、executeメソッドに渡します。
//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	
	//prepareメソッドでSQLをセット
	$stmt = $pdo->prepare("select name from test where id = ? and num = ?");
	
	//疑問符(?)使った場合はその順番どおりに値をセットした配列を用意
	$array = array(2,10);
	
	//executeメソッドに配列を渡す。
	$stmt->execute($array);
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
一方、パラメータマークにコロンと名前を使った場合は、パラメータマークと値のペアの連想配列を作り、executeメソッドに渡します。
//PDOオブジェクトの生成
	$pdo = new PDO("mysql:dbname=test;host=localhost",USERNAME,PASSWORD);
	//コロンと名前を使ったクエリの場合
	$stmt = $pdo->prepare("select name from test where id = :id and num = :num");
	
	//パラメータマークと値のペタの連想配列を作成
	$array = array("id"=>2,"num"=>10);
	
	//executeメソッドに配列を渡す。
	$stmt->execute($array);
	//結果を表示
	$result = $stmt->fetch();
	echo "name = ".$result['name'].PHP_EOL;
	
コードを見ていただければ詳しい説明がなくても理解できると思います。
個人的にはbindValueを使ったほうが明確に値をセットしてる感じがするので、bindValueを使うことをおすすめします。

>> 【PDO bindValueとbindParamの違い】に進む
>> PHP入門トップに戻る
●更新履歴
2016/08/16 Java入門ページにページを幾つか追加
2016/04/08 Java入門ページ作成
2016/03/09 メニューレイアウト変更。ブラウザキャッシュのクリアをお願い致します。
2016/03/09 PDOトランザクション、自動コミットモードをオフ追加
2016/03/09 PDO 例外処理 try catch追加
2016/03/09 PDO update文実行追加
2016/03/09 PDO delete文実行追加
2016/03/09 PDO insert文実行追加
2016/03/09 PDO selectでデータを取得、fetchAll、queryメソッド追加
2016/03/09 PDO bindValueとbindParamの違い追加
2016/03/09 PDO prepare プリペアドステートメントの使い方追加
2016/03/04 ソースコードをクリップボードにコピーする機能を追加
2016/03/04 C言語、C++のページのソースコードを一部修正
2014/01/31 C言語関数一覧ページに11ページほど追加
2014/01/31 C言語関数一覧ページに30ページほど追加
2014/01/30 C言語関数一覧ページ作成中
2013/07/01 レイアウト変更に伴いブラウザキャッシュのクリアをお願いします。
2013/07/01 MySQL入門ページ作成
2013/07/01 PHP入門ページにSQLite学習項目追加
2013/06/25 ドメイン変更、レイアウトを一部変更
2013/03/14 レイアウトを一部変更
2012/08/13 C言語よくある課題・宿題ページ開設!
2012/08/13 シューティングゲーム作成第33章追加!
2012/08/11 ドメイン変更&サーバ移設完了
2012/04/21 シューティングゲームプログラミング第2,3章の内容を修正
2012/04/19 シューティングゲームプログラミング第2章の内容を修正
2012/04/03 Googleカスタム検索を設置!
2012/04/03 シューティングゲームプログラミング第32章追加!
2012/04/03 シューティングゲームプログラミング第31章追加!
2012/03/31 サイトをリニューアルしました!
2012/03/25 シューティングゲームプログラミング第30章追加!
2012/03/19 シューティングゲームプログラミング第29章追加!
2012/03/16 シューティングゲームプログラミング第28章追加!
2012/02/27 シューティングゲームプログラミング第27章追加!
2012/02/03 シューティングゲームプログラミング第26章追加!
2012/01/31 シューティングゲームプログラミング第25章追加!
2012/01/20 シューティングゲームプログラミング第23,24章追加!
2012/01/11 シューティングゲームプログラミング第22章追加!
2012/01/05 トップページ、ゲームプログラミング関連のトップページのデザインを変更
2012/01/04 シューティングゲームプログラミング第21章追加!
2012/01/01 シューティングゲームプログラミング第20章追加!
2011/12/25 シューティングゲームプログラミング第19章追加!
2011/12/22 シューティングゲームプログラミング第18章追加!
2011/12/18 シューティングゲームプログラミング第17章追加!
2011/12/17 シューティングゲームプログラミングページOPEN!
2011/11/21 ゲームプログラミングページOPEN!
2011/11/21 サイトデザインを大幅に変更
2011/11/17 TOPページのデザインを変更。相互リンクページに、複数サイト追加。
2011/11/06 WINAPI学習ページ(33~36章)追加
2011/11/05 WINAPI学習ページ(20~32章)追加
2011/10/27 WINAPI学習ページ(14~19章)追加
2011/10/21 WINAPI学習ページ(13章)追加
2011/10/21 サイトマップ、連絡ページ追加
2011/10/17 WINAPI学習ページ(6~11章)追加
2011/10/16 WINAPI学習ページ(1~5章)追加
2011/10/13 全体のレイアウト変更
2011/10/07 PHP学習ページ(8~11章)追加
2011/10/06 PHP学習ページ(1~7章)作成
2011/10/06 JavaScriptリファレンスページ作成
2011/10/05 C言語学習ページ発展編(10~14章)追加
2011/10/04 C言語学習ページ発展編(1~9章)追加。
2011/10/03 HTML/CSSリファレンスのページ追加。(個々の詳細ページは作成中)
2011/09/30 HTML学習ページ(8章)追加
2011/09/29 JavaScript学習ページ(12~17章)追加
2011/09/28 JavaScript学習ページ(1~11章)追加
2011/09/27 HTML学習ページ(4~7章)追加
2011/09/26 C言語学習ページ(27章)追加、C++学習ページ(17章)、HTML学習ページ(1~3章)追加
2011/09/25 C言語学習ページ(23~26章)を追加
2011/09/24 C++学習ページ(9~16章)追加
2011/09/23 C++学習ページ(3~8章)追加
2011/09/22 C言語の学習ページ(22章)とC++学習ページ(1~2章)追加
2011/09/21 C言語の学習ページ(15章~21章)を追加
2011/09/20 C言語の学習ページ(10章~14章)を追加
2011/09/19 サイト作成(随時更新予定)