基本形

• $pdo = new PDO()でPDOオブジェクトを得る
• $stmt = $pdo->prepare()でプレースホルダー入りのSQLを準備する
• $stmt->bindValue()や$stmt->bindParam()でプレースホルダーを埋める
• $stmt->execute()でバインドを有効化する

bindValueによる値の設定

'?'によるプレースホルダー

以下の例では、prepare()のSQL中2つの'?'がプレースホルダーになる。

bindValue()の第1引数は何番目のプレースホルダー'?'かを指定し、第2引数にそのプレースホルダーにセットする値を指定する。第3引数は省略するとPDO::PARAM_STRになる。

この結果、データベースのnum_dataとstr_dataにそれぞれ10, 'ABC'が追加される。

名前によるプレースホルダー

以下の例では、prepare()のSQL中':num'と':str'の2つがプレースホルダーになる。

bindValue()の第1引数でそれぞれのプレースホルダーを指定し、第2引数にそのプレースホルダーにセットする値を指定する。第3引数は省略するとPDO::PARAM_STRになる。

この結果、データベースのnum_dataとstr_dataにそれぞれ20, 'DEF'が追加される。

bindParamによる変数の設定

bindValue()はプレースホルダーに値を設定したが、bindParam()は変数を設定する。

変数がバインドされた時点ではSQLの内容は決定されていない。変数に値をセットし、execute()を実行した段階でSQLの値が確定する。

この例では2つのプレースホルダーに変数をバインドし、その変数に値を与えてからexecute()を実行している。プレースホルダーに'?'を用いてもよい。

この結果、データベースのnum_dataとstr_dataにそれぞれ30, 'GHI'が追加される。

概要

HTML側でアップロードされたファイルをPHP側で受け取り、妥当性のチェック、所定の場所への保存などを行う最低限の手順。

HTML側でのファイル選択

• FORM要素でenctype="multipart/form-data"を指定する
• INPUT要素でtype="file"を指定し、サーバー側で参照するためのname属性を設定する
• 複数ファイルを送る場合はINPUT要素にmultiple="multiple"を指定する

HTML表示の際、デフォルトで”ファイルを選択”ボタンが表示され、これをクリックするとダイアログによるファイル選択が可能となる。

PHPで受け取る値

HTML側からの結果が受信されたとき、スーパーグローバル変数$_FILESに連想配列としてアップロードされたファイルの情報が格納される。以下、'name値'はINPUT要素で指定されたname属性の値。

$_FILES['name値']['error']

エラーコード。PHPで定義された定数でエラーステータスを確認可能。(PHP-manual)

$_FILES['name値']['name']

アップロードファイル名。

$_FILES['name値']['tmp_name']

アップロードされたファイルのフルパス。

$_FILES['name値']['type']

アップロードファイルのMIMEタイプを取得。たとえばimage/jpeg、image/pngなど。

$_FILES['name値']['size']

アップロードされたファイルのサイズ

PHP側の処理

INPUT要素を受け取ったPHP側での最低限の処理の流れは以下のとおり。

1. $_FILES['name値']['error'] === UPLOAD_ERR_OKでアップロード時のエラーをチェック
2. 以下の変数を設定
   • $image_file_name = $_FILES['name値']['name'];
   • $tmp_name = $_FILES['name値']['tmp_name'];
   • $type = $_FILES['name値']['type'];
3. is_uploaded_file($tmp_name)でアップロードファイルの妥当性をチェック
4. $type === 'image/jpeg' && $type !== 'image/png'でファイルタイプをチェック
5. move_uploaded_file($tmp_name, IMAGE_DIR . $image_file_name);でアップロードされたファイルを任意のディレクトリー（この場合IMAGE_DIR）に移動
   • この実行結果のtrue/falseに応じてファイル名のデータベースへの登録などの処理を実行

$_FILES['name値']['type']ユーザーから送信されたものなので、偽装・改竄に対する完璧な防御にはならないが、上記は最低限の流れ。

概要

PDO(PHP Database Object)によるデータベース操作は、手続き型に比べて、異なるDBMS間の際を隠蔽・吸収してくれるほか、セキュリティー対策も組み込まれている。

基本の流れ

PDOの最も基本的な流れは以下の通り。

1. ユーザー情報やデータベース情報からPDOオブジェクトを生成する
2. PDO::query()メソッドにSQLクエリーを渡してPDOStatementオブジェクトを得る
3. PDOStatementオブジェクトからデータをフェッチする

例外処理などを無視した骨格は以下の通り。

メソッド

PDO::__constructor

PDOのコンストラクター

public PDO::__construct ( string $dsn , string $username = ? , string $passwd = ? , array $options = ? )

dsn

データソースネーム(Data Source Name)。DBMS名やホストなどの情報を文字列で指定する。たとえばlocalhostのMySQLを文字セット・データベースまで含めて指定する場合は以下のように記述する。

'mysql:host=localhost;charset=utf8mb4;dbname=databasename'

charsetで文字コードセットをしている点に注意。

$options

PDOクラス定数と用いた連想配列で指定する。たとえばエラーを例外としてthrowさせたい場合は以下のように指定する。

array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)

PDO::query

クエリー文字列を与えて、検索結果をPDOStatementオブジェクトとして受け取る。

PDOStatement::fetch()

検索結果を取り出す。一般的なのは、while文の条件の中でfetch()メソッドの結果を取り出して、全レコードについて処理を行うケース。以下の例では、クエリーによって抽出された都道府県と市町村を連想配列の配列として格納する。

PDO::prepare

PDO::query()による方法は、SQLステートメントがそのまま実行されるためセキュリティー上脆弱。

PDO::prepare()によるプリペアードステートメントとbindValue/bindParamによる値や変数のバインドによれば特定文字のエスケープが行われるため、こちらを使うべき。

PDO::lastInsertId

最後に登録されたレコードのIDを返す。MySQLの場合引数は不要。戻り値はstring。

雛形

PDO::query

レコード数のカウント

SQLのCOUNTの結果1行からデータを読む。以下の例では、id列をカウントした結果が1行で返されるのをfetchColumn()でカラム指定してデータを取得している。

あるいはPDO::rowCount()メソッドを使ってもよい。この場合はSELECTで何かのカラムを読み込めばよい。

列の全データの取得

検索したい列を抽出し、PDOStatement::fetchAll()で配列として取り出す。以下の例ではprefカラムの全データを取り出し、配列$pref_nameに格納している。

複数列データの連想配列への格納

以下はクエリーの結果を格納する方法の一つ。各レコードをカラム名をキーとした連想配列とし、それを1つの配列に収めている。

例外処理

PDOに例外をthrowさせるには、コンストラクターで以下のようにクラス変数で指定する。

トランザクション

3つのメソッドで簡明に処理できる(PDOによるトランザクションの確認)。

commit()メソッド、rollBack()メソッドはbeginTransaction()が成功していないと例外になるので注意。

beginTransaction()はトランザクションが開始できない場合に例外を投げる。

PDOによるトランザクションの確認はこちらを参照。