プリペアドステートメントとは何ですか？

SQL文のテンプレートを事前にDB側でコンパイルしておき、パラメータだけを後から渡して実行する仕組み。SQLインジェクション対策の基本中の基本。

プリペアドステートメントのポイントは？

SQL文の構造を先にコンパイルし、パラメータを後からバインドするため、SQLインジェクションを構造的に防止できる。同じSQL文を繰り返し実行する場合、パース・最適化が1回で済むためパフォーマンスも向上する。ほぼすべてのRDBMS（MySQL、PostgreSQL、Oracle等）とプログラミング言語でサポートされている。クエリビルダーやORMの内部でも使われている

【ぷりぺあどすてーとめんと】

プリペアドステートメントとは？

💡 SQL文の骨格を先に固めて、値だけ差し込む安全装置

📌 このページのポイント

SQL文の構造を先にコンパイルし、パラメータを後からバインドするため、SQLインジェクションを構造的に防止できる
同じSQL文を繰り返し実行する場合、パース・最適化が1回で済むためパフォーマンスも向上する
ほぼすべてのRDBMS（MySQL、PostgreSQL、Oracle等）とプログラミング言語でサポートされている
クエリビルダーやORMの内部でも使われている

プリペアドステートメントによるSQLインジェクション防止

ひよこ

プリペアドステートメントって何を準備してるの？

ペンギン先生

SQL文のテンプレートをDB側で先にコンパイルしておくんだ。SELECT * FROM users WHERE id = ? みたいに、パラメータ部分をプレースホルダにしておいて、後から値だけ渡すよ

ひよこ

それでSQLインジェクションを防げるの？

ペンギン先生

そうだよ。SQL文の構造が先に確定してるから、後から渡される値はあくまでデータとして扱われる。悪意のあるSQL文を値に仕込んでも、SQL文の一部として解釈されないんだ

ひよこ

パフォーマンスもよくなるって本当？

ペンギン先生

同じSQL文を何回も実行するなら、パース・構文解析・実行計画の作成が1回で済むからね。バッチ処理で何千回もINSERTするような場面だと効果が大きいよ

ひよこ

クエリビルダーを使ってたら気にしなくていいの？

ペンギン先生

クエリビルダーやORMは内部的にプリペアドステートメントを使ってることが多いから、普段は意識しなくてもOK。でも生SQLを書く場面では必ず使うべきだし、LIKE句のワイルドカードエスケープは別途必要だから注意だよ

まとめ：ざっくりこれだけ覚えればOK！

「プリペアドステートメント」って出てきたら「SQLインジェクションを防ぐ安全なSQL実行方法」と思えればだいたいOK！

📖 おまけ：英語の意味

「Prepared Statement」＝事前に準備された文

💬 Prepared（準備された）Statement（文）で、SQL文をあらかじめ準備しておくという意味だよ

← 用語集にもどる

プリペアドステートメント とは？

プリペアドステートメントとは？