MySQL のプリペアド ステートメントの入門

プリペアド ステートメントは、安全で効率的な SQL クエリを作成するために不可欠なツールです。この記事では、PHP の MySQLi 拡張機能である mysqli でプリペアド ステートメントを使用する方法を説明します。

構文エラー: 非オブジェクト実行

発生するエラー, 「致命的なエラー: 非オブジェクトのメンバー関数execute() の呼び出し」は通常、$stmt 変数が適切に初期化されていない、またはオブジェクトではないことを示します。これを修正する方法は次のとおりです:

$stmt = $mysqli->prepare("INSERT INTO users (name, age) VALUES (?,?)");

続行する前に、データベースへの有効な接続を確認してください。

バインディングパラメータ

プリペアド ステートメントは、パラメータ マーカー (例: ?) を使用して入力値を表します。これらの値は、ステートメントを実行する前に PHP 変数にバインドする必要があります。次に例を示します。

$name = 'one';
$age = 1;
$stmt->bind_param('si', $name, $age);

この例では、name パラメーターを文字列 ('s') としてバインドし、age パラメーターを整数 ('i ').

ステートメントの実行

パラメータがバインドされたら、準備されたステートメントを実行できます。ステートメント:

$stmt->execute();

エラーの処理

準備されたステートメントは、直接 SQL クエリよりも優れたエラー処理を提供します。 mysqli_stmt::error メソッドを使用してエラー メッセージを取得します:

if ($stmt->error) {
    die("Error: " . $stmt->error);
}

完全な例

挿入、選択、エラー処理の完全な例を次に示します:

// Establish connection
$mysqli = new mysqli("localhost", "root", "root", "test");

// Prepare and bind parameters
$stmt = $mysqli->prepare("INSERT INTO users (name, age) VALUES (?,?)");
$stmt->bind_param('si', $name, $age);

// Insert multiple rows
$name = 'one';
$age = 1;
$stmt->execute();
$name = 'two';
$age = 2;
$stmt->execute();

// Prepare and execute select statement
$stmt = $mysqli->prepare("SELECT * FROM users");
$stmt->execute();

// Bind result
$result = $stmt->get_result();

// Process results
while ($row = $result->fetch_assoc()) {
    echo $row['name'] . ", " . $row['age'] . "
\n";
}

// Handle errors
if ($stmt->error) {
    die("Error: " . $stmt->error);
}

プリペアド ステートメントを使用すると、SQL インジェクション攻撃を防止し、より堅牢で効率的な SQL クエリを作成できます。