目的
phpで使うブレースホルダが良くわからなかったのでまとめた
ブレースホルダとは
SQL文の中にPHPの変数を直接書くと、悪意のあるユーザーからdbを操作される可能性がある。
ダメな例
$sql = "SELECT * FROM user WHERE name= '$name'";
プレースホルダを使用する
$sql = "SELECT * FROM user WHERE name= :name";
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$bands = $stmt->fetchAll(PDO::FETCH_ASSOC);//表示
$parmsは事前に
$parms = [];
で定義すると空でも使える。
参考サイト