Объясните в чем разница
В гайде использовался этот кусок кода:
$pdo = new PDO($dsn, $user, $password);
$sql = 'INSERT INTO users(Username, Email, Login, Pass) VALUES(?, ?, ?, ?)';
$quare = $pdo->prepare($sql);
$quare->execute([$username, $email, $login, $pass]);
До этого я делал так:
$link = mysqli_connect($host, $user, $password, $db);
$query = "INSERT INTO users_i(Username, Email, Login, Pass) VALUES('$username', '$email', '$login', '$pass')";
$result = mysqli_query($link, $query);
if($result)
{
echo "Выполнение запроса прошло успешно";
}
mysqli_close($link);
Объясните в чем разница и что лучше использовать?
Представь что username у меня Д'Артаньян.
Попробуй подставить во второй запрос и выполнить.
Ничего не получится. А точнее будет:
... VALUES('Д'Артаньян', ...
база данных решит, что имя - это Д, а дальше какая-то белиберда.
Потому что когда ты подставляешь переменную напрямую в запрос, то есть риск того что содержимое переменной будет интерпретировано как часть запроса. И в лучшем случае будет ошибка, а в худшем - взлом сайта.
Поэтому надо всегда применять первый вариант, когда переменные подставляются в запрос не напрямую, а через маркеры - вот как у тебя знаки вопроса. Тем более PDO поддерживает не только знаки вопроса, но и именованные маркеры, типа :name - некоторым такое читать проще.
-
22:46
-
06:18
-
12:23
-
20:41
-
06:31
-
21:28
-
22:18
-
08:00
-
13:46
- Почему SERVER_ADDR имеет не тот IP 49932 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 31904 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 25894 visits
- Как через css изменить цвет png изображения? 11724 visits
- Blob video url download 11272 visits
- Php curl запрос через прокси с авторизацией 10677 visits
- Работа с captcha vk api 9474 visits
© "hostciti.net" 31.12.2025 | 07:01