$sql="update table set nikename='{$nikename}' where userid={$userid}";$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)PHPSQL
$sql=mysql_query("update ulist set name='$name' where id=$id");我一般是这么写。不知道楼主这什么区别。
习惯是第一个直接写sql,第二种是封装的时候。
$nikename = "test';delete ..."; $sql="update table set nikename='{$nikename}' where userid={$userid}"; var_dump($sql);两种方法差不多,习惯第一种。但是这两种,都需要对数据进行过滤,否则存在注入。
$sql="update table set nikename='{$nikename}' where userid={$userid}"; 优点:直观。速度应该稍快于第二种。 缺点:SQL注入风险。$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid) 优点:直观且强制userid为数字。 缺点:SQL注入风险。
mysql_real_escape_string($nikename)
mysql_real_escape_string($userid)第二种方法的话,%d 可以确定$userid一定是数字,而非字符串。
$sql="update table set nikename='{$nikename}' where userid={$userid}";
var_dump($sql);两种方法差不多,习惯第一种。但是这两种,都需要对数据进行过滤,否则存在注入。
优点:直观。速度应该稍快于第二种。
缺点:SQL注入风险。$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)
优点:直观且强制userid为数字。
缺点:SQL注入风险。
即使只是那么一点点,
毕竟第二种需要经过函数来格式化字符串,
就拿echo和print来说吧,
书籍上有提到过前者要比后者的效率高,
后者会返回值而前者不会,
当然php文档并没有提到过这个,
更何况你现在用的是sprintf,
可能你的公司也是这样觉得的吧,
而且使用MySQLi STMT会不会比sprintf更好呢?
MySQLi STMT貌似更安全,阅读起来也很清晰。纯属个人意见,我也是新手,哈哈