$wpdb->prepareでSQL文を作り、ワードプレスで実行する方法を解説いたします。

$wpdb->prepareでエスケープしつつ、SQL文を作成

下記のようなSQL文は、悪意のあるハッカーによって改ざんされる脆弱性があります。

global $wpdb;
$wpdb->get_results("SELECT * FROM wp_user where user_login = '".$_GET['user_login']."'");

この場合にSQL文をエスケープ処理(特定の文字列が改ざんされてもデータベースの内容を書き換えたりSQL文の意味合いを変えるのを防ぐ)してくれるのが$wpdb->prepareです。

上記のプログラムの場合下記のように書き換えられます。

global $wpdb;
$sql = $wpdb->prepare("SELECT * FROM ".$wpdb->prefix."user where user_login = %s",$_GET['user_login']);
$wpdb->get_results($sql);

%s は文字列として”(シングルクオーテーション)付きで文字列をエスケープして$_GET[‘user_login’]の内容と置き換えてくれます。

※ワードプレスは’%s’としてしまってもシングルクオーテーションが2重になってしまわないように処理してくれますので、’%s’と書いても問題ございません。

シングルクオーテーションを付けたくない場合
テーブル名等を指定する場合にシングルクオーテーションを付けたくない場合は、%1$sもしくは、%1sを使用します。

数字をエスケープする
数字をエスケープするには %d を使用します。(小数の場合%fを使用します)

global $wpdb;
$sql = $wpdb->prepare("SELECT * FROM ".$wpdb->prefix."user where ID = %d",$_GET['ID']);
$wpdb->get_results($sql);

$wpdb->get_resultsの内容を次から次に処理する

$rows = $wpdb->get_results($sql);
if ($wpdb->num_rows>0){
    foreach ($rows as $row) {
        echo $row->ID;
    }
}

上記コードでは、get_resultsで取得したデータの数が$wpdb->num_rowsで0個以上ある場合にforeach ($rows as $row) で繰り返しデータを取得・処理しています。

ご参考になりましたら幸いです。

WordPress ワードプレスのテーマやプラグインの修正・修復・カスタマイズのご依頼・ご相談はワードプレスドクターまでお気軽にお送りください

関連記事:

  1. ワードプレスでSQL文をエスケープしながらSELECTできる$wpdb->prepareについて
    ワードプレスのデータベース関連の処理に使用する$wpdb->prepare の使い方やその必要性について解説いたします。...
  2. ワードプレスの$wpdbでSQLを実行する技5選
    ワードプレスにはデータベースに認証した状態ですぐにSQLを実行できる便利なグローバル変数$wpdbというものがあります。 今回はこの$wpdbを利用してMYSQL文を発行する技をいくつかご紹介したいと思います。...
  3. ワードプレスでSQLインジェクションを防ぐPHPプログラミング
    ワードプレスでSQLインジェクションを防ぐPHPプログラミングの小技をご紹介いたします。...
  4. Advanced Custom Fields (ACF)の値を検索に含む方法ーワードプレス、プラグイン
    Advanced Custom Fields...
  5. ワードプレスの投稿をSQL文で検索して結果を表示する方法
    ワードプレスで巨大な投稿やカスタム投稿データがある場合や、複雑な条件で投稿を検索して表示したい場合に直接SQL文を発行して検索し検索結果を表示する方法を解説いたします。...
  6. ワードプレスのPHPプログラムで最後に追加したlastInsertId()を取得する方法
    PHPには、データベースに追加したAutoincrement値の最後に追加したIDを取得する関数lastInsertId() (もしくは mysql_insert_id())がありますね。この値をワードプレスのテーマやプログラム上から取得する方法を解説いたします。...