ケケンタ

こんにちは！　ケケンタです。

今回はPHPのWebアプリ開発をするなら必須のSQLの書き方について解説をしていきます。

SQLはデータベースを操作するための言語です。

しかし、いま現在PHPを学ばれていて、これからWebアプリ開発をしたいと考えている方は、SQLの中でも基本となるCRUD（クラッド）の書き方を理解する必要があります。

この記事をご覧いただくことで、PHPでのWebアプリ開発において不可欠なSQLを理解することができます。

ケケンタ

SQLの基本構文を習得することでTODOアプリや掲示板アプリを開発できるレベルに１つ近づくことができます。

PHPの勉強はとても大変で、その上「SQLもやるのか……」と思われる方もいらっしゃるかと思いますが、PHPに比べれば覚えるべきことは非常に少なく、また簡単です。

この記事を通して、ぜひSQLの基本構文を理解していってください。

あわせて読みたい

PHPやWordPressを学ぶのにおすすめのプログラミングスクール【７選】 僕はこれまで独学でPHPを学習してきました。結論から言えば、それでもPHPを習得することはできました。 しかし、それに費やした累計学習期間は1年ほど。モチベーション…

SQLとは？

大前提として、SQLとは何か？についてお話をします。

SQLとは

データベースを操作するために使用するデータベース言語

です。

データベースにはWebアプリで必要となるユーザー情報やコンテンツ情報などをデータとして保存しておきます。

そのデータ量は実際に運営されているWebアプリの場合、非常に膨大なものとなります。

その膨大なデータを操作するために使用される言語がSQLです。

SQLの基本であるCRUD（クラッド）とは？

SQLの説明の最後に「操作するために使用される言語」とお伝えしました。

ここで言っている操作というのが、いわゆるCRUDと呼ばれるものになります。

CRUD（クラッド）の４大要素

繰り返しになりますが、CRUDはWebアプリケーションにおいて不可欠なデータベース操作の４つの頭文字を組み合わせたものです。

これらをSQLの基本構文と対応させると以下のようになります。

CRUD（クラッド）

• Create（作成） …… INSERT文
• Read（読み取り）…… SELECT文
• Update（更新） …… UPDATE文
• Delete（削除） …… DELETE文

PHPに限らず、Webアプリケーションを開発する際には、上記４種類のSQL文の使用が欠かせません。

言い換えれば、これらをしっかり理解できればWebアプリケーションを開発するために最低限必要なSQLは習得したと言えるということです。

ケケンタ

それでは以下より各SQL文の概要と構文を解説していきます。
なお、CRUDでは先頭がINSERT文になっていますが、当記事ではSQLにおいて最も基本であるSELECT文の書き方からご説明させていただきます。

SELECT

SELECT文は

データベースから特定のデータを取得したい際に使用するSQL文

です。

使用例としては、掲示板アプリで投稿情報を表示したいとき、投稿情報をデータベースから取得するときなどが挙げられます。

上図ではIDが２のデータを選択する様子を示していますが、実際には例えば名前や色に対して条件を指定する形でデータを取得することが可能です。

本章ではパターンとして以下３つについて解説します。

すべてのデータを取得する場合

すべてのデータを取得する場合、SQLは以下のようになります。

すべてのデータを取得するSQL文

SELECT * FROM テーブル名;

SQLでは基本的にメインとなる命令（SELECT）を先頭に書きます。
その後ろに続く*（アスタリスク）とFROM テーブル名はそれぞれ以下のような意味を持ちます。

・*（アスタリスク）……すべての列（カラム）
・FROM テーブル名……『テーブル名』から取得する

また、このSQL文では、条件の指定を行っていません。
したがって、上記の１文により、「『テーブル名』からすべてのデータを取得する」という意味になります。

列を指定しつつ、すべてのデータを取得する場合

データを取得する際、特定の列情報があれば十分な場合があります。

そんなときは以下のように記述をします。

特定の列からのみデータを取得する

SELECT 名前, 数量 FROM テーブル名;

SELECTの後ろにカラム名（列名）をカンマ区切りで記述しています。
こうすることで、特定のカラムだけを取得することが可能です。

ケケンタ

もちろん、１列だけ選択するという記述の仕方も可能です。

また補足として、以下の①、②のSQL文は同じ取得結果になります。
①SELECT * テーブル名;
②SELECT ID, 名前, 色 ,数量 FROM テーブル名;

条件に一致するすべてのデータを取得する場合

条件を指定してデータを取得する場合は、これまでの構文に加えてWHERE文を使用します。

書き方は以下の通りです。

条件を指定してデータを取得するSQL文

SELECT * FROM テーブル名 WHERE 条件;

また、複数の条件を指定することも可能で、その場合はANDやORを使用します。

複数の条件を指定するSQL文

SELECT * FROM テーブル名 WHERE 条件⓵ OR 条件⓶;

以下の例では、「IDが２または数量が20のデータ」を取得します。

ケケンタ

このようにSQLでは基本的な構文を組み合わせることで様々なデータを取得することが可能です。

INSERT

INSERT文は、既存のテーブルに新しいデータを追加する際に使用します。

Webアプリケーションでは、例えば掲示板アプリに投稿があった際、投稿データをテーブルにINSERTするといったシチュエーションが挙げられます。

基本的な書き方は以下の通りです。

INSERT文の基本的な書き方

INSERT INTO テーブル名 (列名1, 列名2,…) VALUES (値1, 値2,…);

以下の例では、既存テーブルに「いちご」の情報を新規追加します。

INSERT INTO テーブル名 (ID, 名前, 色, 数量) VALUES (5, ‘いちご’, ‘レッド’, 13);

この例では説明のためにIDの情報も記述していますが、基本的にデータを一意に識別するための連番はデータベース側の設定で自動的に入力されるようにします。

したがって、実際の開発の際にはIDの部分は省略してしまって大丈夫なケースがほとんどです。

UPDATE

UPDATE文は、既存データを更新したいときに使用します。

例えば掲示板アプリでは、過去に投稿した投稿内容を修正する機能で使用します。

基本的な書き方はこちらです。

UPDATE文の基本的な書き方

UPDATE (テーブル名) SET (カラム名1) = (値１) WHERE (条件);

少々見づらいかもしれませんが、日本語で簡単に見ると

指定したテーブル内の条件に当てはまるデータの内、指定したカラムの情報を（値１）に置き換える

という意味です。

ケケンタ

イメージが湧きづらい方は、まずUPDATE～（値１）までを１つのまとまりとして捉えてみて下さい。

例えば、IDが１のデータの数量を15に更新するというSQL文は以下のようになります。

UPDATE テーブル名 SET 数量 = 値１ WHERE ID = 1;

DELETE

最後はDELETE文です。

DELETE文は、条件に一致する既存データを削除したいときに使用します。

例えば掲示板アプリでは、過去の投稿内容を削除する機能で使用します。

基本的な書き方は以下の通りです。

DELETE文の基本的な書き方

DELETE FROM テーブル名 WHERE 条件;

以下の例では、IDが３のデータを削除しています。

DELETE FROM テーブル名 WHERE ID = 3;

注意点として、仮に以下のように条件を省いてDELETE文を実行した場合、テーブル内のデータがすべて削除されてしまいます。

そのため、DELETE文を使用する際は、必ずWHEREで条件を指定するようにしましょう。

DELETE FROM テーブル名;

ケケンタ

以上がCRUDの解説でした。

余談ですが、今回の例ではすべてアルファベットを大文字で記述していましたが、SQLでは全角と半角の区別は無いため、半角で記述することも可能です。

SQLの基本であるCRUDの書き方を理解してPHPでWebアプリ開発をしよう

以上がWebアプリ開発をする際に必要不可欠なSQLの基本、CRUDの解説でした。

改めて、CRUDとはWebアプリにおけるデータベース操作の４つの基本機能の頭文字を取った用語でした。

これらの書き方をきちんと理解できれば、Webアプリを開発することが可能です。

PHPの基礎を習得し、Webアプリを開発するとなれば避けては通れないSQLですが、この記事の内容が理解できたなら、実際に使えるようになるまでそう時間はかかりません。

ケケンタ

もしも実際にCRUDを使用している様子をご覧になりたいという場合は、以下の記事もおすすめです。

あわせて読みたい

掲示板アプリの作り方｜プログラミング初心者向け【PHP】 この記事ではPHPによる 掲示板アプリの作り方 をご紹介します。 掲示板アプリを作成するためには、PHPの基本文法をはじめ、データベース操作（いわゆるCRUD）やHTTPリク…

最後までご覧いただきありがとうございました！

また別の記事でお会いできるのを楽しみにしております。

この記事ではセキュリティ攻撃の１つであるSQLインジェクションについて、その対策方法も含めて解説をしていきます。

ケケンタ

SQLインジェクション対策をしないと最悪の場合、DB内のデータをすべて抜き取られたり削除されるなど非常に大きな被害が発生します。
この記事を読んでいただき、理解の一助となれば幸いです。

セキュリティ対策についてしっかり学ばれたい方にはこちらの書籍がおすすめです。
（通称：徳丸本と呼ばれる「Webアプリ開発者必読」とまで言われている書籍です）

 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 
徳丸 浩／著　SBクリエイティブ／出版│Amazon

あわせて読みたい

PHPやWordPressを学ぶのにおすすめのプログラミングスクール【７選】 僕はこれまで独学でPHPを学習してきました。結論から言えば、それでもPHPを習得することはできました。 しかし、それに費やした累計学習期間は1年ほど。モチベーション…

SQLインジェクションとは？

被害・影響

SQLインジェクションの被害や影響は主に以下の通りです。

また、漏洩した情報が原因となりクレジットカード被害やWebサイトの改ざんによるマルウェア拡散、アカウントの乗っ取りなどの二次被害へ派生する可能性があります。

攻撃の流れ

SQLインジェクションが実行される場所としては、主に以下の箇所が挙げられます。

Webアプリにおいて、上記の画面の共通点として、「ユーザが入力した任意の文字列を元に、システムがDB内から該当データを取得したりチェックを行う」という処理があります。

このとき、システム上では予め用意されたSQL文が実行されるのですが、攻撃者はそのSQL文に悪意のあるSQL文を無理やり注入（インジェクション）することで、DB内のデータを不正に操作します。

【具体例】検索画面を通じた情報の盗み出し

それではここで、「パソコン関連機器を検索する機能」を例として、SQLインジェクションが実際にどのようにして実行されるのかをお見せします。

以下のSQL文はユーザが検索フォームに入力した内容（$item_name）を元に、DBから該当する「機器名（name）」と「価格（price）」を表示するものです。

SELECT name, price FROM item_list WHERE name = $item_name;

攻撃者は、上記の内、$item_nameに不正な入力内容を含めることで、システム側が意図していないSQL文を実行させます。

例えば、攻撃者によって以下のような入力内容があったとします。

'; UPDATE item_list SET price = '0

これにより、システム側で組み立てられるSQL文は以下のようになります。
※分かりやすくするために攻撃者の入力内容を【】で囲んでいます。

SELECT name, price FROM item_list WHERE name = '【'; UPDATE item_list SET price = '0】';

ここで注目して頂きたいのが以下の2か所です。

１では「’;」が文末に注入されたことで、無理やり正常のSQL文が終了させられています。

２では、UPDATE文が注入されていますが、WHERE文による条件指定が含まれていないため、更新対象はすべてのデータということになります。

つまり、上記のSQL文が実行されることにより、item_listテーブル内の価格情報（price）がすべて0円に変更されてしまうということです。

SQLインジェクションの根本的原因

結論から言うと、SQLインジェクションの根本的原因は

正規のSQL文にユーザの入力内容をそのまま埋め込む仕様になっている

ことにあります。

上記の例をご覧いただいたように、SQLインジェクションでは正規のSQL文からはみ出させる形で不正のSQL文を実行させています。

攻撃者は何らかの工夫を施すことで、この「はみ出す部分」を作り出し、そこに悪意あるSQL文を埋め込み、不正を行うのです。（例ではUPDATE文を「はみ出させる」ことで実行させています。）

これが可能となってしまう原因は、システム側でSQL文を組み立てる際、ユーザの入力内容をそのままSQL文に埋め込んでいるためです。

ケケンタ

つまり、ユーザの入力内容をそのまま埋め込まないことがSQLインジェクション対策になるということです。

対策方法

繰り返しになりますが、SQLインジェクションの原因は、ユーザの入力内容をSQL文にそのまま埋め込んでいることにあります。

この状態を回避する方法は複数ありますが、ここでは最も確実となるプレースホルダーを利用する方法をご紹介します。

プレースホルダーとは？

ケケンタ

プレースホルダーって何…？

という方のために簡単にご説明をすると

プレースホルダーとは、後から任意の値をセットするために予め用意された仮のスペースのこと

分かりやすく言うと、プレースホルダーを用いることで、後からSQL文の構造を変更することが理論的に不可となります。

つまり、攻撃者による不正なSQL文の実行を防ぐことが可能になるということです。

プレースホルダーの実装【PHPコードあり】

実際の実装例は以下の通りになります。（★が付いている処理が今回の対策と関連している部分です。）

<?php

/*
 * 今回はPDOを使用した実装としています。
 */

// ユーザの入力内容を取得
$item_name = $_GET['item_name'];

try {
    // DBへ接続の準備
    $dsn = 'mysql:dbname=sample_db;host=localhost;charset=utf8';
    $user = 'ユーザ名';
    $password = 'パスワード';

    // オプション指定
    $options = array(
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,    // SQL実行失敗時には例外をスロー
        PDO::MYSQL_ATTR_MULTI_STATEMENTS => false,      // ★複文の実行を不可にする 
        PDO::ATTR_EMULATE_PREPARES => false,            // ★静的プレースホルダーを使用する
    );
    // PDOオブジェクトを生成してDBへ接続
    $dbh = new PDO($dsn, $user, $password, $options);

    // SQL文の作成
    // ★プレースホルダー名として「:item_name」を指定
    $sql = 'SELECT name, price FROM item_list WHERE name = :item_name';

    // SQLへ接続準備
    $stmt = $dbh->prepare($sql);

    // ★プレースホルダ（:item_name）に値（$item_name）をセット
    $stmt->bindValue(':item_name', $item_name, PDO::PARAM_STR);

} catch (Exception $e) {
    // 例外処理
}

?>

以下より、★が付いている処理について順番に解説をしていきます。

【解説】複文の実行を不可にする

以下の部分でSQL文の複文の実行を不可としています。

PDO::MYSQL_ATTR_MULTI_STATEMENTS => false,      // ★複文の実行を不可にする 

ケケンタ

「複文」とは、例えば以下のように、同時に複数のSQL文が実行される構成となっているものを指します。

SELECT name, price FROM item_list WHERE name = ''; UPDATE item_list SET price = '0';

前述したように、SQLインジェクションとは正規のSQL文から「はみ出す」形で不正なSQLを差し込む攻撃です。

つまり、このように複文の実行を不可にすることでSQLインジェクションの抑制になるのです。

ただし、SQLインジェクション攻撃のパターンの中には複文を利用しないものもあります。
したがって、このオプション指定はあくまで特定の攻撃に対する抑制にはなるものの、完全な対策とはならない点に注意が必要です。

【解説】静的プレースホルダーを指定

次に静的プレースホルダーについてですが、こちらは以下の部分で指定をしています。

PDO::ATTR_EMULATE_PREPARES => false,            // ★静的プレースホルダーを使用する

プレースホルダーには実は

の2種類があります。正しく処理が記述できていればどちらを使用してもSQLインジェクション対策となりますが、静的プレースホルダーの方が原理的に対策が確実なため、仕様的に問題が無ければこちらを採用するのが無難です。

【解説】プレースホルダーの利用

プレースホルダーを実際に使用している箇所がこちらです。

// SQL文の作成
// ★プレースホルダー名として「:item_name」を指定
$sql = 'SELECT name, price FROM item_list WHERE name = :item_name';

    ～中略～

// ★プレースホルダ（:item_name）に値（$item_name）をセット
$stmt->bindValue(':item_name', $item_name, PDO::PARAM_STR);

処理の流れは以下のようになります。

なお、プレースホルダー名の接頭辞には「:item_name」のように「:（コロン）」を使用します。

また、bindValueメソッドの第3引数には、入力内容に応じた型を指定します。例えば今回は入力内容として文字列型での入力を想定しているため「PARAM_STR」を指定しました。

ケケンタ

以上がSQLインジェクションの対策コードの解説でした。
対策内容を整理すると以下のようになります。

まとめ

ここまでSQLインジェクションについてお伝えをしてきました。

SQLインジェクションが成功してしまった場合、情報漏洩や改ざんなどが発生し、2次被害としてアカウントの乗っ取りなどに繋がってしまう恐れがあります。

プレースホルダーを使用することで対策が可能なため、Webアプリを開発する際には必ず実装するようにしましょう。

ケケンタ

最後に、僕がセキュリティ対策を学ぶ際に利用した書籍をご紹介させていただきます。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 [ 徳丸 浩 ]

created by Rinker

¥3,520 (2026/05/27 17:05:34時点 楽天市場調べ-詳細)

• Kindle
• Amazon
• 楽天市場

 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 
徳丸 浩／著　SBクリエイティブ／出版│Amazon

こちらの書籍は通称徳丸本と呼ばれており、Webセキュリティの第一人者である徳丸浩さんが手がけられている書籍です。Webアプリを開発する方やWebアプリケーションのセキュリティ対策を徹底的に学びたい方にとてもオススメできる一冊です。

Webアプリケーション開発において、ある意味セキュリティ対策は技術力以上に重要です。

こちらの書籍を読むことでWebアプリケーションにおいて必要なセキュリティ要件も明確となるため、Webアプリ開発に携わる方は必ず目を通しておきたい一冊です。

ケケンタ

最後までお読みいただきありがとうございました！
また別の記事でお会いできれば光栄です！

あわせて読みたい

【ディレクトリ・トラバーサル】概要と対策方法を解説【PHP対策コード】 今回はセキュリティ攻撃の１つであるディレクトリ・トラバーサルについて解説をしていきます。 ディレクトリ・トラバーサル攻撃を受けてしまうと、被害内容によっては社…

あわせて読みたい

【XSS】クロスサイト・スクリプティングとは？対策方法も解説【PHP】 今回はWebアプリにおけるセキュリティ攻撃の１つであるXSS（クロスサイト・スクリプティング）について解説をしていきます。  この記事を読むと分かること XSS（クロス…

あわせて読みたい

【CSRF】攻撃の流れやPHPでの対策方法を解説【クロスサイトリクエストフォージェリ】 Webサイトへのセキュリティ攻撃の１つにCSRF（クロスサイトリクエストフォージェリ）というものがあります。 この記事では、 CSRFの攻撃の流れ 攻撃による影響・被害 PH…