Heim >Backend-Entwicklung >PHP-Tutorial >[PHP新手]说说下面写法的优劣

[PHP新手]说说下面写法的优劣

WBOY
WBOYOriginal
2016-06-23 14:09:29894Durchsuche

$sql="update table set nikename='{$nikename}' where userid={$userid}";

$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)


回复讨论(解决方案)

不懂啊  感觉现在php非常火啊

感觉怎么也得先引用一下
mysql_real_escape_string($nikename)
mysql_real_escape_string($userid)

第二种方法的话,%d 可以确定$userid一定是数字,而非字符串。

php正在学,看不懂

$sql=mysql_query("update ulist set name='$name' where id=$id");

我一般是这么写。不知道楼主这什么区别。

习惯是第一个直接写sql,第二种是封装的时候。

第2种写法远比第1中写法清晰,甚至可以不需要备忘
从运行效率上讲,两者相差无几

$nikename = "test';delete ...";
$sql="update table set nikename='{$nikename}' where userid={$userid}";
var_dump($sql);

两种方法差不多,习惯第一种。但是这两种,都需要对数据进行过滤,否则存在注入。

果断 PDO...

$sql="update table set nikename='{$nikename}' where userid={$userid}";
优点:直观。速度应该稍快于第二种。
缺点:SQL注入风险。

$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)
优点:直观且强制userid为数字。
缺点:SQL注入风险。

我一般都是用的第一种。
效率嘛  我猜第一个快些

第二种我没有看过。我算是孤陋寡闻啊。

其实我一直第二种(没作几年php项目),本月到一家公司非说第一种好,想不出来有撒好的问一问写php时间长的兄弟姐妹们

刚开始入门中

熟悉 C 的程序员肯定是习惯 第二种 的

表示一直第一种写法、、、、、

个人觉得第一种比第二种效率要快,
即使只是那么一点点,
毕竟第二种需要经过函数来格式化字符串,
就拿echo和print来说吧,
书籍上有提到过前者要比后者的效率高,
后者会返回值而前者不会,
当然php文档并没有提到过这个,
更何况你现在用的是sprintf,
可能你的公司也是这样觉得的吧,
而且使用MySQLi STMT会不会比sprintf更好呢?
MySQLi STMT貌似更安全,阅读起来也很清晰。

纯属个人意见,我也是新手,哈哈。。。

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:如何定时执行Nächster Artikel:PHP的xml字符串解析(在线求解)