第9章 データベース連携 / 第3回 模擬試験

PHPのPDOで名前付きパラメーターを使ったSQL実行に関する次の記述のうち、正しいものはどれか。

名前付きパラメーターは`:name`のようにコロンを付けて記述する。 正解
名前付きパラメーターは、疑問符(`?`)のパラメーターと混在させて使わなければならない。
名前付きパラメーターを使うと、SQLインジェクション対策の効果がなくなる。
名前付きパラメーターは一度しか使用できず、同じ名前を複数回使えない。
解説
名前付きパラメーターは`:name`の形式で記述し、`bindValue(':name', $value)`のように対応する値をバインドします。プリペアドステートメントの一種としてSQLインジェクション対策になります。(参照: 独習PHP 第4版 第9章 データベース連携 9.5.2節 名前付きパラメーターと名前なしパラメーター p.442〜443)