Forum PHP.pl

Witam, cały czas prubuej zabezpieczyc i zoptymalizować swój kod, lecz nadal nie wime czy uzywać takiej formy:

[PHP] pobierz, plaintext 
<?
mysql_query('UPDATE `postacie` SET `zloto` = `zloto` - '.$koszt.' WHERE `id` ='.$postac_zal.'') or die('Error');
?>
[PHP] pobierz, plaintext 

czy takiej:

[PHP] pobierz, plaintext 
<?
mysql_query("UPDATE `postacie` SET `zloto` = `zloto` - '".$koszt."' WHERE `id` ='".$postac_zal."'") or die('Error');
?>
[PHP] pobierz, plaintext 

która jest abrdziej optymalna a która bardziej bezpieczna?

Pozdrawiam

Ten post edytował tumeks 19.07.2006, 16:13:03

Optymalna bedzie ta do ktorej zmienne sa dopinane a nie ta w ktorej zmienne sa wewnatrz ". Co to bezpieczenstwa to raczej nie ma zadnej roznicy.

1. Co do szybkości, to różnice będą minimalne, lepiej jest poświęcić czas na właściwie rozplanowanie bazy danych i zapytań. Np. u Ciebie pole id niech będzie typu INT, operacje na liczbach są szybsze. Jeśli jest to pole typu INT, to po co używać ' w zapytaniu?

[PHP] pobierz, plaintext 
<?php
...`id` ='.$postac_zal.'...
?>
[PHP] pobierz, plaintext 

lepiej dać coś w stylu:

[PHP] pobierz, plaintext 
<?php
...`id` =$postac_zal...
?>
[PHP] pobierz, plaintext 

2. Co do bezpieczeństwa, to musisz pamiętać o odpowiednim filtrowaniu danych pochodzących od użytkownika, jak to zrobić dowiesz się tutaj oraz tutaj.