- ベストアンサー
PHPでバインドメカニズムを使えるか??
質問があるのですがよろしくお願いします。 現在、SQLインジェクションについて学んでおり、perlのDBIインターフェースを介してデータベースにアクセスする際は、プレースホルダを利用することによって変数をバインドし、SQLインジェクションを防ぐことが出来ることを覚えました。 そこで質問なのですが、PHPでバインドメカニズムを利用することは出来るでしょうか??もし可能であるのなら、どのような記述をすればよいでしょうか??分かる方いらっしゃいましたらご教授よろしくお願いします。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (2)
- dai1113
- ベストアンサー率16% (1/6)
PHP4であればPEARのDB.php、PHP5であればPDOでもほとんど変わらずバインド できます。 以下PDOの例です。 $db=new PDO('XXXXX'); //XXXX=oci.... $db->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION); $stt = $db->prepare('INSERT INTO ADDRESS(NAME,TEL) VALUES(?,?)'); $stt->execute(array($name,$tel)); //$nameがはじめの?,$telが2つめの?に入る
お礼
回答ありがとうございました! 具体例まで出していただいて、非常に分かりやすかったです。
- fdsjaklfjas
- ベストアンサー率81% (96/118)
バインドAPIのあるDBMSであれば、PHPでもバインドは使えます。 方法は、DBMSによって異なります。 Oracle、MySQLについては、以下を参照して下さい。 http://www.php.net/manual/ja/function.oci-bind-by-name.php http://www.php.net/manual/ja/function.mysqli-stmt-bind-param.php PEAR::DBという、DBIのようなDB抽象化レイヤも存在します。 これを使えば、バインドAPIのないDBMSでも、擬似的なバインドを利用できるはずです。
お礼
ご回答ありがとうございます! 参考にさせて頂きますm(__)m
補足
すいません、聞きたいことがまだあったのに間違えてお礼を投稿してしまいました。 「バインドAPIのあるDBMSであれば、PHPでもバインドは使える。」とのことですが、つまり、PHP「単体」では、perlのようにバインドを使うことは出来ない、と解釈してよろしいのでしょうか??
お礼
回答ありがとうございました! 非常に参考になりましたm(__)m