PDO での文字列のエスケープ

mysql ライブラリから PDO に移行するときによくある質問の 1 つは、real_escape_string 関数の置き換えに関するものです。この記事では、PDO を使用して文字列をエスケープするための推奨方法について詳しく説明します。

PDO Prepare の使用

PDO で文字列をエスケープするための推奨方法は、PDO::prepare() を使用することです。この機能を使用すると、異なるパラメータ値を使用して複数回実行できる準備済みステートメントを作成できます。プリペアド ステートメントを使用すると、SQL インジェクション攻撃を防止し、アプリケーションのパフォーマンスを最適化できます。

プリペアド ステートメントの仕組み

PDO プリペアド ステートメントは、SQL クエリをパラメータから分離することで機能します。これにより、PDO ドライバーはステートメントのクエリ プランとメタ情報を最適化できます。準備されたステートメントを実行するときは、パラメーター値を配列として指定します。 PDO はこれらの値を自動的に引用符で囲んでエスケープするため、文字列を手動で引用符で囲む必要がなくなります。

例

PDO Prepare を使用して文字列をエスケープする方法の例を次に示します。

$statement = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$statement->bindParam(':name', $name);
$statement->bindParam(':email', $email);
$statement->execute();

この例では、準備されたステートメントの実行時に、:name および :email プレースホルダーが指定されたパラメーター値に置き換えられます。 PDO はこれらの値をデータベースに挿入する前に自動的にエスケープし、SQL インジェクションを防ぎます。

結論

PDO Prepare を使用すると、文字列を簡単にエスケープし、SQL インジェクション攻撃を防ぐことができます。このアプローチは安全かつ効率的であり、PDO クエリのパフォーマンスを最適化します。