【ワードプレス⇒SQL接続】$wpdb->prepareの書き方

PHP

2016.12.052016.11.22

$wpdb->prepareの書き方です。

ワードプレスからデータベースにアクセスする(情報を取得する)時にはSQLインジェクション対策のため、必ず$wpdb->prepareを使います。
※SQLインジェクションはハッキングのようなものです。

$wpdb->prepareの構文

$sql = $wpdb->prepare( SQL文, 変数1, [変数2 …] );
$query = $wpdb->get_results($sql);

$sql = $wpdb->prepare( "SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s", $id, '%'.$name.'%' );
$query = $wpdb->get_results($sql);

1 2	$sql=$wpdb->prepare("SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s",$id,'%'.$name.'%'); $query=$wpdb->get_results($sql);

例の意味：tableという名前のテーブルから、*（すべてのカラム）の情報を取得。ただし、idというカラムが$idに一致し、かつ、nameというカラムが$nameを含むものを抽出する。

$sql = $wpdb->prepare( "SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s", $id, $name.'%' );
$query = $wpdb->get_results($sql);

1 2	$sql=$wpdb->prepare("SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s",$id,$name.'%'); $query=$wpdb->get_results($sql);

例の意味：tableという名前のテーブルから、*（すべてのカラム）の情報を取得。ただし、idというカラムが$idに一致し、かつ、nameというカラムが$nameから始まるものを抽出する。

$sql = $wpdb->prepare( "SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s", $id, '%'.$name );
$query = $wpdb->get_results($sql);

1 2	$sql=$wpdb->prepare("SELECT * FROM $wpdb->table WHERE id = %d name LIKE %s",$id,'%'.$name); $query=$wpdb->get_results($sql);

例の意味：tableという名前のテーブルから、*（すべてのカラム）の情報を取得。ただし、idというカラムが$idに一致し、かつ、nameというカラムが$nameで終わるものを抽出する。