TechAcademy(テックアカデミー) プログラミング PHP PHPでのSQLインジェクションへの対策方法を現役エンジニアが解説【初心者向け】
icon
icon
PHP

PHPでのSQLインジェクションへの対策方法を現役エンジニアが解説【初心者向け】

初心者向けにPHPでのSQLインジェクションへの対策方法について現役エンジニアが解説しています。SQLインジェクションとは、Webサイトから入力された値を使用し悪意のあるSQL文を組み立てることです。SQLインジェクションへの対策としてPDOクラスを使ったプリペアードステートメントについて解説します。

テックアカデミーマガジンは受講者数No.1のプログラミングスクール「テックアカデミー」が運営。初心者向けにプロが解説した記事を公開中。現役エンジニアの方はこちらをご覧ください。 ※ アンケートモニター提供元:GMOリサーチ株式会社 調査期間:2021年8月12日~8月16日  調査対象:2020年8月以降にプログラミングスクールを受講した18~80歳の男女1,000名  調査手法:インターネット調査

PHPでのSQLインジェクションへの対策方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。

そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。

 

なお本記事は、TechAcademyのオンラインブートキャンプPHP/Laravel講座の内容をもとに紹介しています。

 

田島悠介

今回は、PHPに関する内容だね!

大石ゆかり

どういう内容でしょうか?

田島悠介

PHPでのSQLインジェクションへの対策方法について詳しく説明していくね!

大石ゆかり

お願いします!

 
この記事ではPHPでのSQLインジェクションへの対策方法について解説します。
 

目次

1時間でできる無料体験!

 

SQLインジェクションとは

SQLインジェクションとは、アプリケーションのセキュリティ的な不備をついてWebサイトなどから入力された値を使用して悪意のあるSQL文を組み立てることです。

SQLインジェクション対策をしていないアプリケーションは、入力された値を元に実装者が意図しないSQLを生成されることがあります。その結果、データベースを不正に操作されることによりパスワードなどの重要なデータが読み取られたり、データの削除や編集が行われ流ことにより、ときには甚大な被害を招くことがあります。

例えばSQL文を入力値を使って作成する時に以下のように作成した場合です。

$sql ="SELECT * FROM users WHERE name ='" . $name . "'";

一見普通の処理のように見えますが例えば$nameに以下のような値が渡ってきた場合どのようになるのでしょうか。

$name = "' or 'a' = 'a";

と入力された場合、実行されるSQL文は以下のようになります。

SELECT * FROM users WHERE name ='' or 'a' = 'a';

これはnameが空の文字になるデータかつ’a’が’a’となるデータを取得することになります。’a’が’a’に成り立つことは当たり前なので全てのデータで成り立つことになります。

つまり、本来であればnameカラムが入力された$nameと等しいデータのみ取得するはずが、全てのデータを取得するSQL文へと変わってしまうということです。
 

[PR] PHPプログラミングで挫折しない学習方法を動画で公開中

SQLインジェクションへの対策方法

PHPでのSQLインジェクションへの対策としてよく使われるのがプリペアードステートメントを使うという方法です。

プリペアードステートメントは、SQL文で検索に必要な値や、登録や更新時の値を埋め込みでSQL文に入れるようにする方法のことです。

先ほどのSQL文ではSQL文と検索に必要な値を「.」で連結させていましたが、プリペアードステートメントを使うと以下のように記述します。

$sql ="SELECT * FROM users WHERE name =?";

?の部分に後から値を埋め込みます。先ほど問題があった「’ or ‘a’ = ‘a」のような値であってもそれを一つの文字列として認識するようになります。つまり、実際に実行されるのSQLは以下のようになります。

SELECT * FROM users WHERE name =''' or ''a'' = ''a''';

つまりnameカラムに入っている値が「’ or ‘a’ = ‘a」と一致するデータという意味になることによりSQLインジェクション対策となります。

実際に書いてみよう

では実際にSQLインジェクションへの対策をしたソースを書いてみましょう。
 

ソースコード

<?php
 try {
   $records = [];
   $name = "test01";
   $pdo = new PDO(
     'mysql:host=localhost;dbname=dbname;charset=utf8',
     'username,
     'password'
   );
   $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
   $prepare = $pdo->prepare("SELECT * FROM person WHERE name = ?");
   $prepare->bindParam(1, $name, PDO::PARAM_STR);
   $prepare->execute();
   $records = $prepare->fetchAll(PDO::FETCH_ASSOC);
   var_dump($records);
 } catch(PDOException $e) {
   echo $e->getMessage();
 }

 

実行結果

array(1) { [0]=> array(3) { ["id"]=> int(1) ["name"]=> string(6) "test01" ["age"]=> int(30) } }

PHPでデータベースを接続するためのクラスでPDOクラスがありますがオブジェクトを作成する際に「charset=utf8」として文字エンコーディングを指定しています。

$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

をすることで静的プレースホルダを有効に設定し、SQL文の「?」のプリペアードステートメントに値をバインドする準備を行います。

SQL文の「?」に値を埋め込むためにbindParamメソッドを使います。
 

コラム

コスパとタイパ、両方結果的に良くなる良くなる学び方とは?

「スクールは高いし時間も縛られて効率が悪い」と考える方は多いと思います。
もちろん、時間も費用もかかることは間違いありません。
ただ 結果的に無駄な学びにお金も時間もかける方がリスクが高いという考えもあります。

コスパ・タイパ最適化の参考として、 テックアカデミー卒業生がスクールを選んだ理由 をご紹介します。

  • ・困ったときに、質問や相談できる相手がいるため挫折しなかった
  • ・プロとして必要なスキルのみを深く学べたので無駄がなかった
  • ・副業案件の提供と納品までのサポートがあったので目的を達成できた

安価・短期間で広く浅く学んでも意味がありません。 本当に自分の目的が達成できるか、それが重要です。
自分にどのスキルや学び方が合っているか、どんな学習方法かなど、お気軽に 無料相談 に参加してみませんか?

カウンセラー・現役のプロへ、何でも気軽に無料相談可能。 30分か60分お好きな時間が選べて、かつ3回まで すべて無料で ご利用できます。
無理な勧誘は一切ない ので、お気軽にご参加ください。

今なら相談した方限定の割引・参加特典付き! 無料相談はこちら

まとめ

この記事ではPHPでのSQLインジェクションへの対策方法について解説しました。
 

筆者プロフィール

メンターSさん

システムエンジニアとしてこれまで行政システムや医療用システムの保守、開発に携わりました。

JavaやPython、PHP、Kotlinなど様々な言語での開発経験があります。
TechAcademyではJavaコース、Pythonコース、AIコースなど7コースを担当しています。

 

大石ゆかり

内容分かりやすくて良かったです!

田島悠介

ゆかりちゃんも分からないことがあったら質問してね!

大石ゆかり

分かりました。ありがとうございます!

 

TechAcademyでは、初心者でもPHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できるオンラインブートキャンプPHP/Laravel講座を開催しています。

挫折しない学習方法を知れる説明動画や、現役エンジニアとのビデオ通話とチャットサポート、学習用カリキュラムを体験できる無料体験も実施しているので、ぜひ参加してみてください。

初心者・未経験でもできる。まずはテックアカデミーに相談しよう

プログラミングを独学で学習していて、このように感じた経験はないでしょうか?

  • ・調べてもほしい情報が見つからない
  • ・独学のスキルが実際の業務で通用するのか不安
  • ・目標への学習プランがわからず、迷子になりそう

テックアカデミーでは、このような 学習に不安を抱えている方へ、マンツーマンで相談できる機会を無料で提供 しています。
30分間、オンラインでどんなことでも質問し放題です。

「受けてよかった」と感じていただけるよう カウンセラーやエンジニア・デザイナー があなたの相談に真摯に向き合います。

「自分に合っているか診断してほしい」
「漠然としているが話を聞いてみたい」
こんなささいな悩みでも大丈夫です。

無理な勧誘は一切ありません ので、まずはお気軽にご参加ください。
※体験用のカリキュラムも無料で配布いたします。(1週間限定)

今なら参加者限定の割引特典付き! 無料相談を予約する

記事を検索

関連するキーワード

関連する記事

PHPで関数と引数を使う方法【初心者向け】

プログラミング初心者向けに、PHPの基礎を紹介する記事です。 今回は、PHPの関数と引数(ひきすう)について、テックアカデミーのメンター(現役エンジニア)が実...
PHP

PHPでフォームの二重送信を防止する方法を現役エンジニアが解説【初心者向け】

PHPでフォームの二重送信を防止する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 そ...
PHP

PHPで繰り返し処理にcontinueを使う方法を現役エンジニアが解説【初心者向け】

今回は、PHPで繰り返し処理にcontinueを使う方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説し...
PHP

PHPのキーワードnamespaceについて現役エンジニアが解説【初心者向け】

今回は、PHPのキーワードnamespaceについて、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 ...
PHP

初めてでも安心!Eclipseのインストール方法【PHPアプリケーション開発環境構築編】

今回は、Eclipseについて、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 Eclipseはプログラミン...
PHP

PHPのget_object_varsメソッドの使い方を現役エンジニアが解説【初心者向け】

今回は、PHPのget_object_varsメソッドの使い方について解説します。実際のコードをもとに解説していきますので、理解を深めていきましょう。 &...
PHP

あわせてよく読まれている記事

PHPでsqlインジェクション対策を行う方法を現役エンジニアが解説【初心者向け】

今回は、PHPでsqlインジェクション対策を行う方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。   PHPについてそもそもよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプ、PHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでsqlインジェクション対策を行う方法について詳しく説明していくね! 大石ゆかり お願いします!   sqlインジェクションとは sqlインジェクションとは、Webサイトなどから入力された値をそのまま使用して悪意のあるSQL文を組み立てることです。 データベース(DB)と連携して動作するWebサイトなどでは、外部から入力された値を元にSQL文を組み立てることがよくあります。 sqlインジェクションの脆弱性をもつWebサイトなどのアプリケーションは、入力された値を元に意図しないSQLを生成されることがあります。結果として、アカウントのパスワードなどの重要なDBのデータが読み取られたり、データの改ざんまたは削除が可能なため、時には甚大な被害を招くことになりかねません。 下記は、sqlインジェクションの一例です。 SELECT * FROM users WHERE username LIKE '%x'; SELECT password FROM users -- %' セミコロンなどを入力値に含めることで、不正なSQL文を生成することが可能です。   sqlインジェクションを防ぐ方法 sqlインジェクションを防ぐためにPHPアプリケーションでは、以下の3つの対策を行う必要があります。 文字エンコーディングを指定する 静的プレースホルダを用いる バインド時に型を指定する 1.文字エンコーディングを指定することで、本来必要なバイト数未満のデータを送り,特殊文字を無効化するなどのsqlインジェクションを防ぐことができます。 2.SQL文をデータベースエンジン側にあらかじめ送信して、実行前に、SQL 文の構文解析などの準備をしておく方式です。あらかじSQL文をデータベースに送信しておくことで、文字列を組み立ててSQL文を生成し、不正なSQLの生成を防ぎます。 3.用意した静的プレースホルダ(SQL文)は、条件指定部分の値を当てはめられる形(プリペアードステートメント)にしておくことが多いです。そのため、値をプリペアードステートメントにバインドする時は、データ型を指定することで不正な値をバインドされることを防ぎます。   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中実際に書いてみよう それでは、実際に上記のポイントを抑えたPHPでの実装例を見てみましょう。 // 1. 文字エンコーディングを指定して DB に接続する $dbh = new PDO('mysql:host=127.0.0.1;dbname=test;charset=utf8', 'username', 'password'); // 2-1. 静的プレースホルダを用いるようにエミュレーションを無効化 $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $sql = "SELECT * FROM users WHERE email = ? AND password = ?"; // 2-2. プリペアドステートメントを準備 $sth = $dbh->prepare($sql); // 3. 型を指定してパラメータにバインドする $sth->bindParam(1, $email, PDO::PARAM_STR); $sth->bindParam(2, $password, PDO::PARAM_STR); 1.では、「charset=utf8」として文字エンコーディングを指定しています。 2-1.では、静的プレースホルダを有効に設定し、2-2.で「?」のプリペアードステートメントに値をバインドする準備を行います。 3.では、bindParam()関数で値をバインドしています。 第一引数にはプリペアードステートメントの位置を、第二引数には、バインドする値を、第三引数には、PDO::PARAM_STRを使用し、データ型を文字列に指定しています。   筆者プロフィール 平野大輝(ひらのだいき) スキル:PHP・Java・JavaScriptを用いて様々なアプリを開発するWebエンジニア。   大石ゆかり 内容分かりやすくて良かったです! 田島悠介 ゆかりちゃんも分からないことがあったら質問してね! 大石ゆかり 分かりました。ありがとうございます!   TechAcademyでは、初心者でも、PHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できる、オンラインブートキャンプを開催しています。 また、現役エンジニアから学べる無料体験も実施しているので、ぜひ参加してみてください。
PHP

PHPでSQLを実行する方法を現役エンジニアが解説【初心者向け】

今回は、PHPでSQLを実行する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。   PHPについてそもそもよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプ、PHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでSQLを実行する方法について詳しく説明していくね! 大石ゆかり お願いします!   SQLとは SQLとはデータベースへの問い合わせ言語です。ORACLE、MySQL、PostgresなどのRDBMS(リレーショナルデータベースマネジメントシステム)で共通で使用できる言語で、データベースやテーブルを定義するDDL(データ定義文、たとえばCREATE TEBLE文など)とデータを操作するDML(データ操作文、SELECT、UPDATE、DELETEなど)があります。 SQLは多くのプログラミング言語と連携して使用できます。ここではPHPからSQLを実行する方法について説明します。   データベースに接続する PHPからデータベースに接続するには、PDO(PHP標準(5.1.0以降))というデータベース接続クラスを使用して接続します。コーディング例は次の通りです。 $pdo = new PDO('mysql:host=localhost;dbname=mydb;charset=utf8','dbuser','password'); PDOクラスを生成します。引数には、接続先データベース名、charset、ユーザ名、パスワードを設定します。 生成されたデータベース接続情報は、$pdo変数に格納され、以降はこの変数を介してデータベースアクセスを行います。   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中SQL文を作成する データベースへの接続ができたら、SQL文を作成して実際にデータベースへの問い合わせを行います。 SQL文を作成する手順は大きく次のステップで行います。今回はデータの検索のためSELECT文を作成する例で説明します。 prepare文でSQLを定義する。 execute文で①のSQLを実行する。 fetch文でSELECTした結果を取り出す。 実際のソースコードは次の通りです。 $pdo = new PDO('mysql:host=localhost;dbname=mydb;charset=utf8','dbuser','P@ssw0rd'); $qry = $pdo->prepare('select name from usertable'); $qry->execute(); foreach($qry->fetchAll() as $q){ // 取り出したデータの処理 } $pdoインスタンスに対して、prepareメソッドで問い合わせるSQL文を定義して$qry変数に設定します。 SQL文の定義ができたら$qry変数に対してexecuteメソッドでSQLを実行します。SQLの実行結果はこの例ではSELECTした結果データを$qryが受け取るため、fetch(またはfetchAll)メソッドによってデータを取り出します。 foreach文でループ処理を行うことで取り出したデータを順次処理できます。   取得したデータを出力してみる。 SQLを実行して取得した結果を出力してみます。出力の仕方としては、前段のソースコードのforeach文の中にfetchで取り出したデータをPHP変数に置きかえて格納していく方法で記述します。 実際のソースコードは次の通りです。 <table> <tbody> <?php foreach($qry->fetchAll() as $row){ echo '<tr>'; echo '<td>', $row['user_name'], '</td>'; echo '<td>', $row['address'], '</td>'; echo '<td>', $row['tel'], '</td>'; echo '</tr>'; } ?> </tbody> </table> この例では、SELECT文で取得したデータがuser_name、address、telのデータで、テーブルデータとして表示する処理をしています。 <table><tbody>要素の中にPHP文のforeachループの中でfetchで取得した1レコードずつを$row変数に格納しています。$row変数には取得データが配列で格納されているので、取得したい項目を$row[]で指定して取り出します。あとは<td>要素で取得データの変数をかこってあげればテーブルにSQLの取得データを表示できます。   コラム コスパとタイパ、両方結果的に良くなる良くなる学び方とは?
PHP

サイズ指定に役立つ!CSSでcalc( )を使う方法【初心者向け】

CSSで書くcalcファンクションの使い方について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 要素の水平や垂直のセンタリング、可変的な幅の指定や均等に要素を配置したい場合にもcalcファンクションを使えます。 異なる単位で複雑な計算も簡単に指定できます。 レイアウトやサイズ指定を楽に行うことができるので、少し応用的な使い方ですが、覚えておくと便利でしょう。 目次SQLインジェクションとはSQLインジェクションへの対策方法実際に書いてみようまとめ筆者プロフィール そもそもCSSの記述方法がわからない場合は、 CSSの書き方について解説した記事を読むとさらに理解が深まります。   大石ゆかり CSSで3等分にした要素の幅を設定するにはどうしたらいいですか? 田島悠介 いろいろ方法があるけどcalcファンクションを使えば簡単だよ。 大石ゆかり calc?CSSで計算ができるんですか? 田島悠介 その通り!たとえば全体の幅から3等分した要素を作りたいならwidth: calc(100% / 3)のように指定できるよ。 大石ゆかり へぇー。わかりやすいですね。 田島悠介 そうなんだ。まずはどういった記述の仕方をするか見てみよう。 大石ゆかり はい!   calcファンクションとは CSSのcalcファンクションとは、レイアウトやサイズ指定に計算式を使えるようにしてくれるファンクションです。 通常だと100pxや3emのようにレイアウトやサイズを指定しますが、calcファンクションを用いることで、100px + 50pxや、3em – 1em のように四則演算を使えるようになります。 たとえば、縦横150pxの要素をブラウザの表示領域で中央に配置するには以下のように記述できます。 width: calc(100vw / 2 - 150px / 2); height: calc(100vh / 2 - 150px / 2); このように指定すれば、中央位置(50vw, 50vh)から150pxの要素の端から中心までの距離(150px / 2)だけずらした位置を求めて中央にセンタリングできます。   calcファンクションを使うメリット 異なる単位で計算することができる 計算が明白になる calc()は結果の値ではない 異なる単位で計算することができる CSSのcalcファンクションは、異なる単位の値で計算式を作成できます。 異なる単位で計算できれば、相対的な長さの単位(%、em、vwなど)と絶対的な長さの単位(pxやptなど)を組み合わせて、要素をセンタリングするなどの指定が簡単に記述できます。 %、em、pxなどいろいろな単位を組み合わせた計算が可能です。 たとえば、表示領域全体から固定幅 80pxの要素の残りの幅を calc(100% – 80px) のように計算式で求められます。 このように、固定幅の要素と幅が可変する要素を並べたいときに便利です。 計算が明白になる calcファンクションを使うと、値が何を意味しているかが分かりやすくなります。 たとえば3等分の幅にしたい場合、「width: 33.333333333%;」と指定するよりも「width: calc(100% / 3);」としたほうが、3等分の幅にしたいことが明白にわかります。 固定された値を指定するよりもわかりやすく、3分割や7分割などの割り切れない値も設定できます。 calc()は結果の値ではない calcファンクションの計算結果は固定されているわけではなく、ブラウザの幅などに合わせてリアルタイムに計算されます。 たとえば「height: calc(100vh – 50px);」と指定すれば、ブラウザの表示領域に合わせて常に高さが表示領域の半分より50pxだけ少なくなるように調整されます。   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中calcファンクションの書き方 calcファンクションはCSSで値の代わりとして計算式を指定できます。 widthやheight、font-sizeなど値が指定できるところなら使えます。 構文 プロパティ(widthなど): calc(式) 四則演算が使用できる 指定する式では四則演算の演算子(+、-、*、/)が使えます。 前後に空白が必要 加算(+)と減算(-)では演算子の前後に半角スペースを空ける必要があります。 除算(/)や乗算(*)では演算子の前後に半角スペースを入れなくても計算式が認識されますが、慣習として四則演算の演算子の前後には半角スペースを入れます。 ※演算子の前後に半角スペースを入れないと、加算や減算ではなく正の値や負の値として認識されます。詳しくは公式ドキュメント「calc() – CSS: カスケーディングスタイルシート | MDN」をご覧ください。 calcが利用できる場所 calcファンクションは、長さ(<length>)、周波数(<frequency>)、角度(<angle>)、時間(<time>)、数量(<number>)、整数値(<integer>)の値を設定する場所に対して使用できます。 入れ子が可能 calcファンクションは入れ子にできます。 入れ子にすると計算式の優先順位を決める、単なる括弧( )として扱われます。   コラム コスパとタイパ、両方結果的に良くなる良くなる学び方とは?
CSS

【データから紐解く!】人気プログラミング言語を徹底比較!

本稿は、Codementorのブログ記事を、Codementorより了解を得て日本語翻訳し掲載した記事になります。 科学、技術、工学および数学の素養がある人材に大きな需要があり、高い賃金が支払われているのは、とりたてて目新しいニュースではありません。米国におけるソフトウェア関連職種のオンライン求人数は2007年から2012年にかけて、他の求人に比べ3倍の速さで成長しています。 米国労働統計局は、2012年から2022年にかけてソフトウェア開発に関する求人は、22%増加すると見込んでいます。2014年5月時点のソフトウェアアプリケーション開発者の平均年収は95,510ドル(約965万円)となっています。 これからプログラミングを学ぼうと思っている初心者は、どの言語を学ぶべきか考えていることでしょう。 この記事では各プログラミング言語の給与、需要、そして将来性を比較する事によって、疑問への回答のヒントとなるはずです!   また、オンラインのプログラミングスクールTechAcademyでは、未経験でもプログラミングを習得することが出来ます。   目次 各プログラミング言語の現状 言語別求人ランキング 言語別給与ランキング プログラミングに関するサポート体制について 各プログラミング言語の将来性   各プログラミング言語の現状 各プログラミング言語を比較する前に、比較対象となる各言語の現状を確認してみましょう。   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中動的プログラミング言語 学びやすく面白さもある為、一般的に、動的プログラミンング言語は初心者におすすめ出来る言語だと考えられています。コードを多用せず、ゼロからアプリケーションを構築可能で、難しいルールに従う必要がありません。 通常、動的プログラミング言語は最高層で使用されるので、細部の習得に多くの時間を費やす必要が無く、言語の概要の理解に時間を費やします。これも早期に結果を出したいと望むプログラミング初心者に人気の理由の一つです。   JavaScript JavaScript(Javaとは別言語です)は、フロントエンドに必要クライアントな側の言語です。JavaScriptは全てのブラウザと相性が良く、しばしば「jQuery」の様なライブラリ、AngularJSやEmber.js、Reactなどのフロントエンドフレームワークを活用した双方向のウェブアプリケーションに使用されます。 JavaScriptは、Node.jsを活用したサーバー側の言語としても使用されます。Node.jsは比較的新しく、勢いのあるコミュニティです。 FacebookのReact NativeでJavaScriptを使用したネイティブモバイルアプリケーションを構築出来る他、phonegap等のフレームワークでJavaScriptを使用しハイブリッドモバイルアプリケーションも構築出来ます。 しかし、JavaScripは型の無い言語なのでミスを見つけて修正するのが難しい分、扱い難い言語としても知られています。マイクロソフトのTypeScriptやReactが使用するJSXなどの静的な型付きのバージョンも存在します。   Ruby 開発を面白く、かつ効率的にする為に開発されたRubyは、Ruby on Railsのフレームワークによって人気を博しました。 Ruby on Railsは、プログラミングの快適性を追求した、フルスタックのフレームワークです。Rubyは英語の様に解読でき、Railsは、共通タスクを容易にするツールを備えています。 Shopify、Bloomberg、HuluやSlideshareなどの人気サイトではバックエンド開発の大部分にRubyを使用しており、Ruby on Railsで構築されています。 Ruby/Rails開発のためのおすすめエディタ/IDEについても合わせてご覧ください。   Python Pythonもまた初心者にお勧め出来る言語の一つであり、米国の一流大学で言語学習の導入段階において最も学ばれています。デスクトップアプリやWebアプリケーション等を構築する際に使用され、データマイニングに最適なツールを備えています。さらに、Pythonはコンピュータサイエンスやデータ解析、生物情報学等、アカデミックなコミュニティでも人気があります。 Google、 YouTube、 Pinterest、 Instagram、 Reddit、 BitTorrent、 Civilization IVなどはPythonで構築されてます。 国内でPythonを使ったWebサービスが少ない理由とはという記事も合わせてご覧ください。   PHP PHPはサーバー側のスクリプト言語で、PHPのコードで何をするか概念化が容易な為、初心者向けの言語と考えられています。この言語はWeb向けに特化されているので、多くのWebサイトはPHPで構築されています。 Facebook、Wikipedia、Yahoo!、 Tumblr、 WordPress等はPHPで構築されています。   静的型付き言語 静的型付き言語で構築されたアプリケーションはより拡張性と安定性があり、保守性に優れている事で知られています。静的言語はタイピングのチェックによる機能が厳しく、エラーの抽出が容易である一方、プロトタイプの作成が可能な為、多くのコードを使用します。ゲームエンジン、モバイルアプリケーションや企業のバックエンドは一般的に静的型付き言語で構築されます。   Java 汎用性のある言語としてJavaは、Androidアプリ、デスクトップアプリやゲームに使用されます。また企業のバックエンドの開発にも使用されています。 さらに、ビッグデータの保存や加工に使用するフレームワークHadoopは、Javaをベースとしており、Yahoo、Facebook、 Amazon Web Servicesといった企業で採用されています。   C C言語は、システムソフトウェアの共通言語として、しばしば使用されています。 Cは、本稿にて紹介するほぼ全てのプログラミング言語、とりわけObjective-Cと C++に影響を与えました。ですので、もしCの知見があれば他の一般的な言語の習得は難しく無いでしょう。 しかし、簡単なタスクを実行するのに複雑なコードを必要とする為、初めての言語として選んだ場合に初学者は苦労するかと思います。それでもCの知識はきっとプログラマーの助けになることは間違いないですが。   Objective-C / Swift (iOS開発向け) Objective-Cは、C言語を基にした言語であり、静的ですが動的型付けも可能です。AppleのSwiftは、Objective-Cと互換性を持つ様に設計された静的言語ですが静的型付けによりエラーを起こし難くなっています。 Pythonに触発されたSwiftは、新参のプログラマーが習得しやすくObjective-Cに見られるいくつかの課題を解決する様に設計されています。   C++ C++は、C言語を基にした影響力のある言語です。システムソフトウェアのプログラミング用に設計されましたが、ゲームやゲームエンジン、デスクトップアプリ、モバイルアプリ、Webアプリにも使用されてきました。C++は迅速なので、Facebookもいくつかの高性能で高信頼性のあるシステムをこの言語で構築しています。 Adobe Systems、Amazon、Paypal、Chromeなどの多くのソフトウェアがC++で構築されています。Cの様に、一般的にC++は初学者に難しい言語と考えられているので、初めて学ぶ方はMeetups、またはC++Codementorで相談してみるのも良いでしょう。   C# C#(C シャープ)はマイクロソフトWindowsのNET フレームワークの為に開発されました。 C#は、Web開発、ゲーム開発及びマイクロソフトの開発一般に使用されています。マイクロソフトは互換可能なクロスプラットフォームでは知られていませんでしたが、C#を他のプラットフォームへ移行させ、リナックス技術者により良い開発ツールを提供する目的で、Monoと呼ばれるオープンソースプロジェクトを発案しました。 最近では、C#をiOSやAndroid向けのネイティブモバイルアプリに使用できる様になりました。   SQL SQL(SequelまたはStructured Query Language)は、データベースとコニュニケーションを行う問い合わせ用の言語です。 SQLはアプリケーションを構築する為には使用されませんが、リレーショナルデータベース管理システム(RDMS)を使用するアプリケーションのデータ管理に使用されます。   言語別求人のランキング 各プログラミング言語の概要を少しだけ紹介しました。 しかしながら、全ての言語に同じ需要があり、同等の給与が支払われる訳ではありません。もし言語習得の目的が就業であり、また言語習得がどんどん難しくなってきているという話にがっかりさせられたくないのであれば、次に紹介する内容が「どの言語を学ぶべきか」という問いに対するヒントになると思います。 indeed.comによる給与統計を基に、各プログラミング言語を9つの層に分割しています。 この結果、Swiftが一番多くの給与を得る事ができ、Java、Ruby、 Python,、C++とCもまた悪くない選択である事は明白でしょう。さらに、給与のみに焦点を当てた場合、JavaScript,、C#,、SQLおよびPHPは理想的な選択では無いでしょう。 平均給与は、需要(どの程度求人があるか)、供給(何人の開発者がその言語を使えるか)および経験などに影響されます。従い、結論を急ぐ前に他の要素もじっくり確認してみましょう。   求人のトレンド 以下は、プログラミング言語別の求人トレンド(indeed.comから抜粋)です。 C、SQL、JavaおよびJavaScriptには多くの求人があります。一方、C#、C++とPythonもまた需要のある言語です。 しかし、新興企業の職を得たいのであれば、indeed.comのトレンドはふさわしい指標ではないでしょう。   AngelListは新興企業による求人の為のサイトであり、ここの求人リストを基にプログラミング別の重要を確認できます。   JavaScriptの需要がある事が改めて確認できます。また新興企業ではJava、C、C++と C#よりPythonおよびRuby (on Rails)を欲している事が分かるでしょう。   コラム コスパとタイパ、両方結果的に良くなる良くなる学び方とは? 「スクールは高いし時間も縛られて効率が悪い」と考える方は多いと思います。 もちろん、時間も費用もかかることは間違いありません。
プログラミング

近未来を感じる!インタラクションデザインとは

本稿は、Designmodeのブログ記事を、了解を得て日本語翻訳し掲載した記事になります。また本記事はCarrie Cousins氏によって投稿されました。 「インタラクションデザイナー」という言葉は、デザインの分野で近年よく聞かれるようになりました。インタラクションデザインの真の意味とは?またインタラクションデザイナーになるには? これらの疑問に答えて、優れたインタラクションデザインの実例を紹介します。   目次 インタラクションデザイン入門 インタラクションデザイナーの役割 インタラクションデザインの概念と原則 インタラクションデザインの実例   インタラクションデザイン入門 インタラクションデザインとは、論理的かつ考え抜かれた動作と振るまいを備えた、魅力的なWebインターフェースをデザイナーが作るプロセスのことです。 成功するインタラクションデザインは、テクノロジー、コミュニケーションを利用して、理想的なユーザーエクスペリエンスを実現しています。Webサイトやアプリケーションにおけるインタラクションデザインについて、ここ約10年で多くが語られていますが、その基本は変わりません。   インタラクションデザインの概念を紹介するために最もよく引用されているものの1つは、Bob Baxley氏(『Making the Web Work: Designing Effective Web Applications』の著者)が2002年に公開した記事で、全12回にわたってWebアプリケーションのためのインタラクションデザインを定義しています。 その第1回『インタラクションデザインへの案内(Introducing Interaction Design)』では、インタラクションデザインを5分野に分類しています。現在でも役に立つ内容です。 人間とマシンのコミュニケーション(Human/machine communication ) インタラクションデザインの基本的な役割は、ユーザーとデバイス間のコミュニケーションを翻訳して円滑にすることだとしています。 操作と操作への応答(Action/Reaction) インタラクションがどのように起こり、発展していくのかに注意を向けるべきだとしています。 状態(State) ユーザーがアプリケーションの現在の状態を知り、何がなぜ起こっているかわかるような設計にすべきだとしています。 ワークフロー(Workflow) ユーザーが、デバイスやアプリケーションはどのような人向けなのか、また次に何が起こるか予測できるような設計にすべきだとしています。 不具合(Malfunction) エラーは起こるものだと想定するべきだとしています。   次に、インタラクションをデザインするときに考えるべきポイントを挙げてみます。デザインに役立つ基本的な質問がusability.govで提供されているので、引用します。 インターフェースを操作するとき、ユーザーはマウスや指やタッチペンを使って何ができるだろう? インターフェースを操作するとき、ユーザーが使えるコマンドは? デバイスの外観を、ユーザーが機能を予測できるようなデザインにしてみるのはどうだろう? ユーザーがデバイスを操作する前に、デバイスの動作を予測できるような情報をユーザーに与えたか? エラーを未然に防げる設計になっているか? エラーメッセージはユーザーに解決策を提示できているか? 操作が完了したときに、ユーザーはどのようなフィードバックを受けるか? 操作から応答までの待機時間はどのくらいか? インターフェースに使われている要素は、操作しやすいサイズか? インタラクティブな要素を配置するために、インターフェースの端のレイアウトは上手く設計されているか? デバイスは、標準規格を満たしているか? 一度に表示される情報は、まとめて整理されているか? 可能な限りシンプルなデザインになっているか? 一般的なフォーマットを利用しているか?   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中インタラクションデザイナーの役割 もしあなたが上で見た質問を考えるタイプだとしたら、インタラクションデザイナーの素質があります。 インタラクションデザイナーの役割は、デザイン、開発、クリエイティブ、マーケティングのチームにおいて、デザイン戦略を考えたり、製品の重要なインタラクションを特定したり、製品のコンセプトを試すためにプロトタイプを作成したり、ユーザーを魅了できるような最新のテクノロジーやトレンドについて知識をアップデートしておくことです。 このように表現すると、インタラクションデザイナーの仕事は範囲が広くて曖昧なものに思えるかもしれません。簡単に言うと、企業がインタラクションデザイナーを雇うのは、アプリケーション製品が実際にユーザーの手元に届いたときに、確実に上手く機能させるためです。   インタラクションデザイナーへのキャリアパスは多様です。研修プログラムによってインタラクションデザイナーになる人もいれば、それまでの経験や機会によってインタラクションデザイナーになる人もいます。 しかしインタラクションデザイナーに共通する素養として、物事のメカニズムへの探求心や、人に質問することを恐れないこと、要素やコンセプトを実現化して新しい方法を試す能力などがあります。   インタラクションデザインの概念と原則 インタラクションデザインの活用の場面を広げている要因は何でしょうか。 また普通の「デザイン」とは何が違うのでしょうか?実はこの境界線ははっきりしていません。今回はインタラクションデザインをテーマとしていますが、実際のインタラクションデザインは、Web、アプリケーションのデザインおよび開発の一部なのです。   主要なポイントやツールは変わっても、インタラクションデザインの基本的な概念は変わりません。 これらの概念を見てみましょう。 目的を達成するためのデザイン あなたのサイトやインタラクションが存在する目的は何でしょうか?目的を明確にして、アプリケーションによってこの目的を確実に達成できるようにします。 魔法のようなインターフェース 最も優れたインターフェースとは、魔法のようにその存在に気づかないものです。 「最も優れたインターフェースデザインは「存在していない」かのように思えるものです。データの読み込みや応答に 時間がかかることもなく、ユーザーを悩ませることもありません。」と述べられています。 ユーザビリティ 基盤となるシステムを、理解しやすく使いやすいインターフェースが好まれます。 アフォーダンス 最も優れたインタラクションデザインとは、たとえ説明がなくてもどのように操作したらいいかわかるものです。つまり、有名なことわざを借りると「形態は機能に従う」のです。 インタラクションデザイナーの学習能力 使いやすいインターフェースは、すでにあるコンポーネントで作られます。優れたインタラクションデザイナーであれば、以前と似たようなデザインの課題に取り組むときには、車輪の再発明はしません。むしろ、決まったパターンを上手く使いこなせるのです。   コラム コスパとタイパ、両方結果的に良くなる良くなる学び方とは? 「スクールは高いし時間も縛られて効率が悪い」と考える方は多いと思います。 もちろん、時間も費用もかかることは間違いありません。 ただ 結果的に無駄な学びにお金も時間もかける方がリスクが高いという考えもあります。
アプリデザイン

PHPでbindparamを使う方法を現役エンジニアが解説【初心者向け】

今回は、PHPでbindparamを使う方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。   PHPについてそもそもよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプ、PHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでbindparamを使う方法について詳しく説明していくね! 大石ゆかり お願いします!   bindparamとは PHPのbindParam()関数は、プリペアドステートメントで使用するSQL文の中で、プレースホルダーに値をバインドするための関数です。 bindParam()関数は、値の参照を受け取るという点と、execute()関数を使用した際にバインドが確定するという点で、bindValue()関数と異なります。 プリペアドステートメントとは、SQL文をあらかじめ用意しておいて、その後はクエリ内のパラメータの値だけを変更してクエリを実行できる機能のことです。   プリペアドステートメント PHPではprepare()関数を使用することで、プリペアドステートメントを使用できます。 <?php $userName = 'mysql'; $password = 'mysql'; // PDOオブジェクトの生成(DB接続) $pdo = new PDO('mysql:dbname=test;host=localhost', $userName, $password); // プリペアドステートメントで SQLをあらかじめ用意しておく $stmt = $pdo->prepare('select * from user where id = ? and name = ?'); prepare()関数を使用するためには、まずPDOオブジェクトを生成する必要があります。 PDOオブジェクトを生成時にDB接続情報を渡すことで、対象のDBに対してSQLを実行できるようになります。 prepare()関数の()内が、プリペアドステートメントによるSQLです。$pdo->prepare()とすることで、接続したDBに対して実行するプリペアドステートメントのSQLをセットします。 プリペアドステートメントの「?」の部分は、プレースホルダーと呼ばれるものです。 bindParam()関数を使用することで、このようなプレースホルダーに値をバインドさせることができるので、条件が動的なSQLをアプリケーションから実行できます。   [PR] PHPプログラミングで挫折しない学習方法を動画で公開中bindvalueとの違い 同じくプレースホルダーにバインドする関数として、bindValue()という関数がPHPには用意されています。 bindValue()関数との大きな違いは、バインドするために「変数」を引数として渡すことで、変数が「参照として」バインドされる点です。 そのため、バインドした値が評価されるタイミングがbindParam()関数とbindValue()関数で異なります。   bindvalueの場合 bindValue()関数の場合は、関数に値を渡したタイミングでバインドが評価されます。 $stmt->bindValue(1, $id, PDO::PARAM_INT); $stmt->bindValue(2, $name);   bindParamの場合 bindParam()関数の場合は、クエリを実行する関数execute()が実行されるまで、バインドが評価されません。 そのため、一度bindParam()関数に変数を渡しても、execute()が実行される前に変数の値が変更されると、その変更した値がexecute()の実行時のクエリに反映されます。 // 値をバインド $id = 1; $name = '田中太郎'; $stmt->bindParam(1, $id, PDO::PARAM_INT); $stmt->bindParam(2, $name); // クエリを実行($id, $nameの中身をバインド) $stmt->execute(); // 値の変更 $id = 2; $name = '鈴木一郎'; // クエリを実行($id, $nameの中身をバインド) $stmt->execute();   bindparamを使う方法 それでは、bindParam()関数の使用方法について、見ていきましょう。 bindParam ($パラメータID, $バインドする変数 [, $PDOデータ型定数[, $PDOデータ型の長さ[, $ドライバーオプション]]] ) 第一引数には、パラメータIDを使用します。これは、プレースホルダーの種類によって指定方法が異なります。 もし、プレースホルダーが「?」を使用する、「疑問符プレースホルダー」の場合、パラメータIDには1から始まる整数値で「?」の位置を指定します。 もし、プレースホルダーが「:id」など、名前で指定する「名前つきプレースホルダー」の場合、パラメータIDにはプレースホルダーと同じ:idなどの文字列で指定します。 第二引数には、バインドする変数を渡します。 第三引数は、オプションで、バインドする値に対して明示的にデータ型を指定することができます。指定する場合は、「PDO::PARAM_* 定数
PHP

あなたの目的に合わせて学べるコース

副業したい方

Web制作の力を身につけ
副業までサポート

はじめての副業コース

転職したい方

未経験から16週間で
エンジニアに

エンジニア転職保証コース

スキルアップしたい方

AIも統計解析もできる
Pythonを学ぶ

Pythonコース

※ 経済産業省の第四次産業革命スキル習得認定講座で、厚生労働省指定の専門実践教育訓練給付制度の対象です。条件を満たすことで支払った受講料の最大70%(最大306,460円)が給付金として支給されます。詳しくは エンジニア転職保証コース のページ内の注意事項をご確認ください。

TechAcademyから
現役エンジニアの方へ
お知らせ

1時間でできる無料体験
挫折しない学習方法とは?
TechAcademy(テックアカデミー) プログラミング PHP PHPでのSQLインジェクションへの対策方法を現役エンジニアが解説【初心者向け】