導入
データベースの運用において、SQL文を直接記述する機会は避けられません。特に、INSERT文やWHERE句で条件を指定する際、文字列や数値の指定ルールを誤ると、構文エラーや予期せぬデータ混入、最悪の場合はSQLインジェクションのリスクを招きます。本稿では、MySQLにおける正確なデータ入力方法と、現場で必須となるエスケープ処理のベストプラクティスを解説します。
基礎知識
MySQLでは、扱うデータの種類に応じて入力ルールが異なります。
文字列はシングルクォーテーション(‘)またはダブルクォーテーション(“)で囲みますが、実務ではシングルクォーテーションが標準的です。
数値はクォーテーションで囲まず、そのまま記述します。整数や浮動小数点、指数表記に対応しています。
また、NULLは「値が存在しない」ことを示す特別な状態であり、空文字(”)や数値の0とは明確に区別されます。
実装/解決策
文字列内に引用符そのものを含めたい場合や、改行などの制御文字を入れたい場合はエスケープ処理が必要です。
例えば、文字列内のシングルクォーテーションを表現するには、バックスラッシュ(\)を前置するか、シングルクォーテーションを2つ重ねる(” )というテクニックが有効です。現場では後者の方がコードの可読性が高く、トラブルも少ないため推奨されます。
サンプルプログラム
以下のSQLは、実務で頻出するデータ入力パターンをまとめたものです。コピー&ペーストして動作確認を行ってください。
— 1. 文字列のエスケープ例:シングルクォーテーションを含む文字列
— ‘ を 2つ重ねることで安全に記述できます
SELECT ‘It”s a pen’, ‘MySQL”s features’;
— 2. 改行やタブを含める場合
SELECT ‘一行目\n二行目\t(タブ区切り)’;
— 3. 数値の入力と演算
— 数値はクォーテーション不要。指数表記も可能です
SELECT 100, 13.254, 1.414E+5;
— 4. 16進数の扱い
— 0x41 はそのままでは文字として扱われることがあるため、数値演算やCASTで変換します
SELECT CAST(0x41 AS UNSIGNED) AS hex_to_int;
— 5. NULLと空文字の比較
— NULLはデータなし、”は空の文字列という違いを確認
SELECT NULL IS NULL, ” IS NULL;
応用・注意点
現場で最も注意すべきは、LIKE演算子を使用する際のエスケープです。LIKE句の中でワイルドカードとして使われる「%」や「_」を通常の文字として検索したい場合は、それぞれの前にバックスラッシュ(\%、\_)を付与する必要があります。
また、Webアプリケーション開発においては、SQL文を文字列結合で組み立てるのではなく、プリペアドステートメント(プレースホルダ)を利用することが鉄則です。これにより、エスケープ処理の漏れによるセキュリティリスクを根本から防ぐことができます。手動でのエスケープ処理はあくまでSQLを直打ちするデバッグやデータメンテナンスの補助として理解しておきましょう。
コメント