[PHP][SQL] PDO - kilka pytań Opcje

[desavil]

Witajcie,

Postanowiłem przejść z mysql_query na PDO. Jestem w tym temacie jak nowy.
We większości poradników widzę podczas rozpoczęcia połączenia funkcję try{} oraz na końcu catch(){}
Czy jest to wymagane, czemu to służy?

W pliku z funkcjami mam połączenie z bazą po przez PDO:

[PHP] pobierz, plaintext 
function con(){
	try{ $pdo = new PDO('mysql:host=localhost;dbname=xxx', 'xxx', 'xxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8")); }
	catch(PDOException $e){ echo 'Połączenie nie mogło zostać utworzone: ' . $e->getMessage(); 
}
[PHP] pobierz, plaintext 

Lecz po wykonaniu:

[PHP] pobierz, plaintext 
$stmt = $pdo -> query('SELECT * FROM xxx WHERE xxx');
      foreach($stmt as $row){
          echo '<li>'.$row['nazwa'].': '.$row['opis'].'</li>';
      }
[PHP] pobierz, plaintext 

Dostaję błędy, że obiekt nie jest w klasie czy coś takiego, po przez brakujące try.
W jaki sposób dodać te try do zapytań?
A może po prostu w funkcji łączenia usunąć try i nie będzie problemu i nie będzie ono wymagane do zapytań?


Mam jeszcze jedno pytanie.
Jakich typów zapytać używać, co jest bezpieczniejsze, szybsze.
Typu:

[SQL] pobierz, plaintext 
SELECT * FROM xx WHERE yy=zz
[SQL] pobierz, plaintext 

Czy:

[SQL] pobierz, plaintext 
SELECT id,typ FROM xx WHERE yy=zz
[SQL] pobierz, plaintext 

Tak samo z dodawaniem rekordów używać:

[SQL] pobierz, plaintext 
INSERT INTO produkty SET `nazwa`='nazwa', `opis`='opis'
[SQL] pobierz, plaintext 

Czy:

[SQL] pobierz, plaintext 
prepare('INSERT INTO `produkty` (`nazwa`, `opis`) VALUES( :nazwa, :opis,)');
[SQL] pobierz, plaintext 

Cały czas w mysql_query używałem tych pierwszych, czy robiłem duży błąd jeżeli chodzi o bezpieczeństwo?

Pozdrawiam, i dziękuję za wszystkie odpowiedzi.

[desavil]

Błąd był w zapytaniu, ale takie zapytanie chyba nie ma sensu, da się to zapisać inaczej?:

[PHP] pobierz, plaintext 
$stmt = $pdo -> query('SELECT * FROM `users` WHERE `lol1`=\''.$lol1.'\' AND `lol2`=\''.$lol2.'\' AND `status`=\'1\' AND `country`=\'PL\'');
[PHP] pobierz, plaintext 

Czy tylko tak, jeżeli używam ', znów jak użyje "SELECT to przez " będzie znów mniej optymalne.

Macie jakieś pomysły?

Ten post edytował desavil 16.08.2011, 11:27:17

[skowron-line]

Błąd był w zapytaniu, ale takie zapytanie chyba nie ma sensu, da się to zapisać inaczej?:

[PHP] pobierz, plaintext 
$stmt = $pdo -> query('SELECT * FROM `users` WHERE `lol1`=\''.$lol1.'\' AND `lol2`=\''.$lol2.'\' AND `status`=\'1\' AND `country`=\'PL\'');
[PHP] pobierz, plaintext 

Czy tylko tak, jeżeli używam ', znów jak użyje "SELECT to przez " będzie znów mniej optymalne.

Macie jakieś pomysły?

[PHP] pobierz, plaintext 
$stmt = $pdo -> query('SELECT * FROM `users` WHERE `lol1`="'.$lol1.'" AND `lol2`="'.$lol2.'" AND `status`=1 AND `country`="PL"');
[PHP] pobierz, plaintext 

bardziej optymalnie nie będzie. Intów się nie escapuje, bo to spowalnia zapytanie. Poczytaj na necie o optymalizacji zapytań.