•  10-10-2019
  •  | 
  •  

Domanda

Attualmente sto imparando query parametrizzate come ci sono vantaggi per il loro utilizzo.

Qualcuno potrebbe dare alcune indicazioni convertendo questo blocco di codice a una versione parametrizzata?

Grazie. 

if(isset($_GET['news_art_id']) && (!empty($_GET['news_art_id'])))
{
    $news_art_id = htmlentities(strip_tags($_GET['news_art_id']));
    $news_art_id = validate_intval($news_art_id);

    //echo $news_art_id;
    $_SESSION['news_art_id'] = $news_art_id;

    // Assign value to status.
    $onstatus = 1;
    settype($onstatus, 'integer');

    $query = 'SELECT M.id, M.j_surname, M.j_points_count, M.j_level, A.j_user_id,A.id, A.jart_title, A.jart_tags, A.jart_description, A.jart_createddate FROM jt_articles A, jt_members M WHERE M.id = A.j_user_id AND A.id = ' . check_db_query_id($news_art_id) . " AND A.jart_status = $onstatus;";

    $result = mysql_query($query) or die('Something went wrong. ' . mysql_error());  
    $artrows = mysql_num_rows($result);
}
È stato utile?

Soluzione

nel tuo caso non v'è alcun vantaggio, ricorda una query parametrizzata richiede 2 chiamate al db: uno per impostare il modello di query e analizzare, l'altro per popolare i params modello di query e viene in genere utilizzato quando loop. Quindi, in questo caso è meglio chiamare una stored procedure (sempre la scelta migliore) o utilizzando in linea di SQL e fare in modo di utilizzare http://php.net/manual/en/function.mysql-real-escape-string.php quando applicabile.

Altri suggerimenti

La regola generale è:. Ogni variabile deve essere rilegato, nessuna variabile in linea a tutti

Dettagli tecnici: http://php.net/manual/en/pdo.prepare .php

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top