PHP準備済みステートメントの更新

Question

こんにちは、SQLインジェクションなどを避けるために準備されたステートメントを使用する適切な方法を学ぼうとしています。

スクリプトを実行すると、スクリプトから0行が挿入されたことを示すメッセージが表示されますが、これは1行が挿入されたと表示され、もちろんテーブルが更新されることを期待しています。私はいくつかの研究を行ったので、準備された声明について完全に確信はありません。

テーブルを更新するとき、すべてのフィールドを宣言する必要がありますか、それとも1つのフィールドを更新するだけでよいですか？

どんな情報でも非常に役立ちます。

index.php

<div id="status"></div> <div id="maincontent"> <?php //get data from database. require("classes/class.Scripts.inc"); $insert = new Scripts(); $insert->read(); $insert->update();?> <form action="index2.php" enctype="multipart/form-data" method="post" name="update" id="update"> <textarea name="content" id="content" class="detail" spellcheck="true" placeholder="Insert article here"></textarea> <input type="submit" id="update" name="update" value="update" /> </div>

classes/class.Scripts.inc

public function update() { if (isset($_POST['update'])) { $stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?"); $id = 1; /* Bind our params */ $stmt->bind_param('is', $id, $content); /* Set our params */ $content = isset($_POST['content']) ? $this->mysqli->real_escape_string($_POST['content']) : ''; /* Execute the prepared Statement */ $stmt->execute(); printf("%d Row inserted.
", $stmt->affected_rows); } }

Bill Karwin · Accepted Answer

$stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?"); /* BK: always check whether the prepare() succeeded */ if ($stmt === false) { trigger_error($this->mysqli->error, E_USER_ERROR); return; } $id = 1; /* Bind our params */ /* BK: variables must be bound in the same order as the params in your SQL. * Some people prefer PDO because it supports named parameter. */ $stmt->bind_param('si', $content, $id); /* Set our params */ /* BK: No need to use escaping when using parameters, in fact, you must not, * because you'll get literal '\' characters in your content. */ $content = $_POST['content'] ?: ''; /* Execute the prepared Statement */ $status = $stmt->execute(); /* BK: always check whether the execute() succeeded */ if ($status === false) { trigger_error($stmt->error, E_USER_ERROR); } printf("%d Row inserted.
", $stmt->affected_rows);

あなたの質問について：

スクリプトから0 Rows Insertedというメッセージが表示されます

これは、パラメーターをバインドしたときにパラメーターの順序を逆にしたためです。したがって、id列で$ contentの数値を検索していますが、これはおそらく0と解釈されます。したがって、UPDATEのWHERE句はゼロ行と一致します。

すべてのフィールドを宣言する必要がありますか、それとも1つのフィールドを更新するだけでいいですか？

UPDATEステートメントに1つの列だけを設定してもかまいません。他の列は変更されません。

Your Common Sense · Answer

実際、準備されたステートメントは、誰もが考えるほど複雑ではありません。まったく逆に、プリペアドステートメントベースのコードは、クエリを実行する最もシンプルで整然とした方法です。たとえば、コードを見てください。

_public function update($content, $id) { $stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?"); $stmt->bind_param('si', $content, $id); $stmt->execute(); return $stmt->affected_rows; } _

ご覧のとおり、適切に使用すれば、コードは非常にシンプルで簡潔になります。

基本的に必要なのは3行のみです。

プレースホルダーを使用してクエリを準備する
次に、変数をバインドします（最初に変数の正しいタイプを設定します。「i」は整数、「s」は文字列など）。
そして、クエリを実行します。

1-2-3と同じくらい簡単！

すべての関数の結果を手動で確認する代わりに、 mysqliのレポートモードを設定するを一度だけ実行できることに注意してください。これを行うには、mysqli_connect()/_new mysqli_の前に次の行を追加します。

_mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); _

結果はtrigger_errorの場合とほぼ同じですが、コードが1行追加されるだけです！