MySQLIの準(zhǔn)備されたステートメントは、SQLロジックをデータ入力から分離することにより、SQL注入を防ぎ、効率を改善します。それらを効果的に使用するには：1）データベースに接続する、2）SQLステートメントをプレースホルダーで準(zhǔn)備する、3）タイプ（sのs、sなどはiなど）でパラメーターを正しくバインドします。一般的な間違いには、誤ったパラメーターのバインディング、prepare（）がfalseを返すかどうかを確認(rèn)できず、ループ中に変數(shù)をリセットしないかどうかが含まれますが、ベストプラクティスに従うことで安全で保守可能なコードが保証されます。

phpでデータベースを使用して、mysqliで準(zhǔn)備されたステートメントを使用して、アプリケーションを安全で効率的に保つための最良の方法の1つです。 SQLロジックをデータ入力から分離することにより、SQL注入を防ぐのに役立ちます。

MySqliを使用して作成されたステートメントを効果的に使用する方法は次のとおりです。

準(zhǔn)備された聲明とは何ですか？

準(zhǔn)備されたステートメントは、MySQLIの機(jī)能であり、SQLクエリを1回記述し、異なるパラメーターで複數(shù)回実行できます。文字列を連結(jié)してクエリを構(gòu)築する代わりに（危険な場合があります）、テンプレートを準(zhǔn)備し、プレースホルダーに変數(shù)をバインドします。

この方法により、ユーザー入力は常に実行可能なコードではなくデータとして扱われることが保証されます。

mysqliで準(zhǔn)備されたステートメントを使用する方法

準(zhǔn)備されたステートメントを使用するには、いくつかの明確な手順が含まれます。

1. データベースに接続します
2. SQLステートメントを準(zhǔn)備します
3. バインドパラメーター
4. ステートメントを?qū)g行します
5. 結(jié)果を取得する（必要に応じて）
6. 聲明を閉じます

基本的な例を見てみましょう：

 // 1。データベースに接続します
$ mysqli = new mysqli（ "localhost"、 "username"、 "password"、 "database"）;

//接続を確認(rèn)します
if（$ mysqli-> connect_error）{
    die（ "接続失?。?quot;。$ mysqli-> connect_error）;
}

//2。SQLステートメントを準(zhǔn)備します
$ stmt = $ mysqli-> prepare（ "ユーザー（名前、電子メール）値（？、？）"）;

//3。バインドパラメーター（sのs、stringのs）
$ stmt-> bind_param（ "ss"、$ name、$ email）;

//4。値を設(shè)定して実行します
$ name = "John Doe";
$ email = "john@example.com";
$ stmt-> execute（）;

echo "正常に挿入されたレコード。";

// 6。ステートメントと接続を閉じます
$ stmt-> close（）;
$ mysqli-> close（）;

このアプローチを使用して、操作をSELECT 、 UPDATE 、 DELETEこともできます。

結(jié)合パラメーターを正しく

準(zhǔn)備されたステートメントを使用することで最も重要な部分の1つは、変數(shù)を正しく拘束することです。 bind_param()関數(shù)は、型文字列に続いて変數(shù)が続きます。

• 文字列の"s"
• 整數(shù)のための"i"
• ダブルの"d"
• ブロブの"b"

數(shù)と種類の変數(shù)が、SQLクエリのプレースホルダーに一致することを確認(rèn)してください。

例えば：

 $ stmt = $ mysqli-> prepare（ "name =？and age>？？"）;
$ stmt-> bind_param（ "si"、$ name、$ age）;

この場合、最初のパラメーター（ $name ）は文字列であり、2番目（ $age ）は整數(shù)です。

これを間違えた場合、クエリは期待どおりに動(dòng)作しないか、靜かに失敗する可能性があります。

結(jié)果を安全に取得します

SELECTクエリでデータを取得するときは、結(jié)果変數(shù)を取得する前にバインドする必要があります。方法は次のとおりです。

 $ stmt = $ mysqli-> prepare（ "idを選択、ユーザーからid =？"）;
$ stmt-> bind_param（ "i"、$ user_id）;
$ stmt-> execute（）;
$ stmt-> bind_result（$ id、$ name）;

while（$ stmt-> fetch（））{
    echo "id：$ id、name：$ name <br>";
}

$ stmt-> close（）;

bind_result()メソッドは、結(jié)果列を変數(shù)にバインドするため、ループで安全にアクセスできます。

これにより、すべてがきれいに保たれ、通常のmysqli_query()呼び出しのように亂雑な配列の取り扱いを回避します。

避けるべき一般的な間違い

準(zhǔn)備されたステートメントを使用するときに、人々がしばしば遭遇するいくつかの落とし穴があります。

• prepare()がfalseを返すかどうかを確認(rèn)するのを忘れてください
• 使用後にステートメントを閉じないでください
• 誤ったタイプまたは多すぎる/少數(shù)の変數(shù)を結(jié)合します
• 誤って複數(shù)の実行にわたって同じ変數(shù)名を使用します

良い習(xí)慣は、 prepare()の返品値を常に確認(rèn)することです。

 if（！$ stmt = $ mysqli-> prepare（ "select ..."））{
    die（ "failed："。$ mysqli-> error）;
}

また、複數(shù)のデータセットをループしている場合は、毎回変數(shù)を適切にリセットまたは再バインドするようにしてください。

それは基本的に、mysqliを使用して準(zhǔn)備されたステートメントを使用する方法です。古い學(xué)校の方法よりも少しコードがありますが、長期的にははるかに安全で維持が簡単です。

以上がmysqliで準(zhǔn)備されたステートメントを使用する方法の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。