📢 Webサイト閉鎖と移転のお知らせ
このWebサイトは2026年9月に閉鎖いたします。
新しい記事は移転先で追加しております。(旧サイトでは記事を追加しておりません)

 
(同じ利用者による、間の7版が非表示)
1行目: 1行目:
== 概要 ==
== 概要 ==
PHPにおいて、MySQLへの接続とCRUDの手順を記載する。<br>
PHPにおいて、MySQLへの接続とCRUDの手順を記載する。<br>
<br><br>
== 環境設定 (Windowsのみ) ==
PHPでMySQLを使用できるように、php.iniファイルの設定を変更する。<br>
# php.iniファイル
# 編集前
;extension=php_mysql.dll
# 編集後
extension=php_mysql.dll
<br><br>
<br><br>


57行目: 68行目:
     // データベースの接続を閉じる
     // データベースの接続を閉じる
     mysqli_close($link);
     mysqli_close($link);
?>
</syntaxhighlight>
<br>
また、MySQLへ接続するには、PDO拡張モジュールを使用することもできる。<br>
<u>PDO拡張モジュールは、PHP 5.1から使用できる。</u><br>
<br>
PHP Data Objects(PDO) は、データベースに接続するためのインターフェイスとして機能する拡張機能である。<br>
mysqliとは異なり、あらゆるデータベース機能を実行することができ、MySQLに限定されるものではない。<br>
データベース間の柔軟な連携を可能であり、mysqliよりも汎用的である。<br>
<br>
PDOは、サーバ側とクライアント側のプリペアドステートメントをサポートしている。<br>
<br>
PDOの大きな強みは、クエリで起こりうるあらゆる問題に対処するための例外クラスを持っていることである。<br>
これは、try-catchブロックを組み込むことによってこれらの問題を解決する。<br>
<br>
以下の例では、PDO拡張モジュールを使用して、MySQLサーバへ接続している。<br>
<syntaxhighlight lang="php">
<?php
    $host    = "localhost";
    $username = "username";
    $passwd  = "password";
    $dbname  = "mydb";
    $charset  = "utf8mb4";
    try {
      # DSN(database source name)は、データベースの種類と名前、およびその他の追加情報を定義する
      # PDOは様々な種類のデータベースをサポートしているため、別のデータベースを使用している場合は、構文(mysql)の部分を使用しているデータベースに置き換える
      $dsn = "mysql:host=$host; dbname=$dbname; charset=$charset";
 
      # PDOコンストラクタは、データベースへの接続を確立する
      # 3つのパラメータを持っており、データソース名(dsn)、データベースのユーザ名、データベースのパスワードである
      $pdo = new PDO($dsn, $username, $passwd);
      # PDOにパラメータを設定するsetAttributeメソッド
      # PDO::ATTR_ERRMODEおよびPDO::ERRMODE_EXCEPTIONは、クエリが失敗した場合に例外を実行するようにPDOに指示する
      $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
      echo "Connection Okay";
      # データベースに接続するためのPDO変数を返す
      return $pdo
    }
    catch (PDOException $e)
    {  # 接続に失敗した場合はエラーメッセージを表示する
      echo "Connection failed: ". $e->getMessage();
    }
  ?>
  ?>
  </syntaxhighlight>
  </syntaxhighlight>
623行目: 680行目:
  </syntaxhighlight>
  </syntaxhighlight>
<br><br>
<br><br>
== パラメータをエスケープする ==
SQL文で使用する値が固定値の場合は問題無いが、例えば、フォーム等に入力した条件を使用してSQL文を生成する場合、<br>
SQLインジェクション攻撃を防ぐためにパラメータをエスケープする必要がある。<br>
<br>
エスケープするためには、<code>mysqli_real_escape_string</code>関数を使用する。<br>
<br>
string mysqli_real_escape_string(mysqli link_identifier, string escapestr)
現在使用している文字コードで、escapestrの特殊文字をエスケープして、mysqli_query関数で安全に利用できる形式に変換する。
バイナリデータを挿入する場合は、必ず、mysqli_real_escape_string関数を使用しなければならない。
引数:
    link_identifier  MySQLリンクID
    escapestr  エスケープされる文字列
戻り値:
    成功する場合はエスケープ後の文字列、失敗する場合はfalseを返す。
<br>
マジッククオートを有効化している場合も似たような効果が得られるが、<br>
マジッククオートは無効化して、<code>mysqli_real_escape_string</code>関数を使用して必要に応じてエスケープすることが推奨されている。<br>
<br>
例えば、SQL文において、値にシングルクォーテーション(')等が含まれる場合、<br>
<code>mysqli_real_escape_string</code>関数を実行することで、SQL文で直接記述できない値に対して<code>\</code>を付加してエスケープ処理を自動的に行う。<br>
<syntaxhighlight lang="php">
$test = "book's";
mysqli_real_escape_string($test);  //--> $test = "book¥'s"
</syntaxhighlight>
<br>
以下の例では、POSTで送信されたユーザ名とパスワードをエスケープ処理を実行してSQL文を生成している。<br>
<syntaxhighlight lang="php">
function quote_smart($link, $value)
{
    // 数値以外をクオートする
    if(!is_numeric($value))
    {
      $value = "'" . mysqli_real_escape_string($link, $value) . "'";
    }
    return $value;
}
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s", quote_smart($_POST['username']), quote_smart($_POST['password']));
mysqli_query($link, $query);
</syntaxhighlight>
<br>
以下の例では、上記のセクションのINSERT文を書き直している。<br>
<syntaxhighlight lang="php">
<?php
    function quote_smart($link, $value)
    {
      // 数値以外をクオートする
      if(!is_numeric($value))
      {
          $value = "'" . mysqli_real_escape_string($link, $value) . "'";
      }
      return $value;
    }
    $link = mysqli_connect('localhost', 'user', 'passwd', 'uriage');
    if(!$link)
    {
      die('接続失敗です。'.mysqli_error());
    }
    print('<p>接続に成功しました。</p>');
    $db_selected = mysqli_select_db($link, 'uriage');
    if(!$db_selected)
    {
      die('データベースの選択に失敗しました。'.mysqli_error());
    }
    print('<p>uriageデータベースを選択しました。</p>');
    // 文字コードをutf8mb4 に変更
    if(!mysqli_set_charset($link, "utf8mb4"))
    {
      printf('文字コードの変更に失敗しました。'.mysqli_error($link));
      exit();
    }
    print('<p>レコードを追加します。</p>');
    $id = 5;
    $name = "Toyama's Wine";
    $sql = sprintf("INSERT INTO shouhin(id, name) VALUES(%s, %s)", quote_smart($link, $id), quote_smart($link, $name));
    print('<p>エスケープ後のデータ:'.quote_smart($name).'</p>');  //--> $name = Toyama¥'s Wine
    $result_flag = mysqli_query($link, $sql);
    if(!$result_flag)
    {
      die('INSERTクエリが失敗しました。'.mysqli_error());
    }
    print('<p>追加後のレコードを取得します。</p>');
    $result = mysqli_query($link, 'SELECT id,name FROM shouhin');
    if(!$result)
    {
      die('SELECTクエリが失敗しました。'.mysqli_error());
    }
    while($row = mysqli_fetch_assoc($result))
    {
      print('<p>');
      print('id='.$row['id']);
      print(',name='.$row['name']);
      print('</p>');
    }
    $close_flag = mysqli_close($link);
    if($close_flag)
    {
      print('<p>切断に成功しました。</p>');
    }
?>
</syntaxhighlight>
<br>
SQL文に含まれていたシングルクオーテーションがエスケープ処理されて、Toyama¥'s Wineに変換されていることが確認できる。<br>
このように、'のような特殊な意味を持つ文字を、単なる文字の'として処理することができる。<br>
<br><br>
== 暗号化 / 復号 ==
データベースの接続情報を暗号化する場合は、openssl_encrypt / decrypt関数を使用して暗号化 / 復号を行う。<br>
<br>
暗号化キー (ENCRYPTION_KEY) と IV(ENCRYPTION_IV) は、ソースコードとは別の場所に保管する。<br>
<br>
また、INIファイルには暗号化された値を保存する必要がある。<br>
<br>
初期設定時において、以下に示すように値を暗号化して設定ファイルに保存する。<br>
<syntaxhighlight lang="php">
$encrypted_password = encryptString('実際のパスワード');
</syntaxhighlight>
<br>
<syntaxhighlight lang="php">
// 暗号化キーとIVを安全な場所に保存する
define('ENCRYPTION_KEY', '<32[byte]の秘密鍵>');
define('ENCRYPTION_IV', '<16バイトのIV>');
// 暗号化関数
function encryptString($plaintext)
{
    $cipher = "aes-256-cbc";
    $options = OPENSSL_RAW_DATA;
    return base64_encode(openssl_encrypt($plaintext,
                                        $cipher,
                                        ENCRYPTION_KEY,
                                        $options,
                                        ENCRYPTION_IV));
}
// 復号関数
function decryptString($encrypted)
{
    $cipher = "aes-256-cbc";
    $options = OPENSSL_RAW_DATA;
    return openssl_decrypt(base64_decode($encrypted),
                          $cipher,
                          ENCRYPTION_KEY,
                          $options,
                          ENCRYPTION_IV);
}
</syntaxhighlight>
<br>
<syntaxhighlight lang="php">
// 使用例
// INIファイルから読み込んだ接続情報を復号して使用
$host    = decryptString($config['host']) ?? 'localhost';
$dbname  = decryptString($config['dbname']) ?? '';
$username = decryptString($config['username']) ?? 'root';
$password = decryptString($config['password']) ?? '';
</syntaxhighlight>
<br><br>
{{#seo:
|title={{PAGENAME}} : Exploring Electronics and SUSE Linux | MochiuWiki
|keywords=MochiuWiki,Mochiu,Wiki,Mochiu Wiki,Electric Circuit,Electric,pcb,Mathematics,AVR,TI,STMicro,AVR,ATmega,MSP430,STM,Arduino,Xilinx,FPGA,Verilog,HDL,PinePhone,Pine Phone,Raspberry,Raspberry Pi,C,C++,C#,Qt,Qml,MFC,Shell,Bash,Zsh,Fish,SUSE,SLE,Suse Enterprise,Suse Linux,openSUSE,open SUSE,Leap,Linux,uCLnux,Podman,電気回路,電子回路,基板,プリント基板
|description={{PAGENAME}} - 電子回路とSUSE Linuxに関する情報 | This page is {{PAGENAME}} in our wiki about electronic circuits and SUSE Linux
|image=/resources/assets/MochiuLogo_Single_Blue.png
}}


__FORCETOC__
__FORCETOC__
[[カテゴリ:Web]]
[[カテゴリ:Web]][[カテゴリ:MySQL]]