时间:2021-07-01 10:21:17 帮助过:3人阅读
不懂啊 感觉现在php非常火啊
感觉怎么也得先引用一下
mysql_real_escape_string($nikename)
mysql_real_escape_string($userid)
第二种方法的话,%d 可以确定$userid一定是数字,而非字符串。
php正在学,看不懂
$sql=mysql_query("update ulist set name='$name' where id=$id");
我一般是这么写。不知道楼主这什么区别。
习惯是第一个直接写sql,第二种是封装的时候。
第2种写法远比第1中写法清晰,甚至可以不需要备忘
从运行效率上讲,两者相差无几
$nikename = "test';delete ...";
$sql="update table set nikename='{$nikename}' where userid={$userid}";
var_dump($sql);
两种方法差不多,习惯第一种。但是这两种,都需要对数据进行过滤,否则存在注入。
果断 PDO...
$sql="update table set nikename='{$nikename}' where userid={$userid}";
优点:直观。速度应该稍快于第二种。
缺点:SQL注入风险。
$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)
优点:直观且强制userid为数字。
缺点:SQL注入风险。
我一般都是用的第一种。
效率嘛 我猜第一个快些
第二种我没有看过。我算是孤陋寡闻啊。
其实我一直第二种(没作几年php项目),本月到一家公司非说第一种好,想不出来有撒好的问一问写php时间长的兄弟姐妹们
刚开始入门中
熟悉 C 的程序员肯定是习惯 第二种 的
表示一直第一种写法、、、、、
个人觉得第一种比第二种效率要快,
即使只是那么一点点,
毕竟第二种需要经过函数来格式化字符串,
就拿echo和print来说吧,
书籍上有提到过前者要比后者的效率高,
后者会返回值而前者不会,
当然php文档并没有提到过这个,
更何况你现在用的是sprintf,
可能你的公司也是这样觉得的吧,
而且使用MySQLi STMT会不会比sprintf更好呢?
MySQLi STMT貌似更安全,阅读起来也很清晰。
纯属个人意见,我也是新手,哈哈。。。