Bonsoir,

Depuis déjà quelques mois je suis en train de coder un site. On m'a donné quelques modules d'un autre site dont je peux m'aider afin de gagner du temps.
Surprise, les requêtes SQL ne sont pas faites de la même manière que chez moi.

Moi je fais des choses du genre

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
try {											
    $req_recherche_id_idx = $pdo_gamedata->prepare('SELECT id_idx FROM u_hero WHERE name = :PSEUDO;');  
    $req_recherche_id_idx->bindParam(':PSEUDO', $pseudo, PDO::PARAM_STR, 25);
    $req_recherche_id_idx->execute();
    $resultat_recherche_id_idx = $req_recherche_id_idx->fetchAll();
} catch (Exception $e) { }
et lui fait des choses du genre

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
$pseudo = GET['pseudo'];
$Query = mysql_query("SELECT id_idx FROM u_hero WHERE name = $pseudo");
$Array = mysql_fetch_row($Query);
echo $Array[0];
Je souhaite donc savoir ce qui est le mieux d'après vous.

J'ai également remarqué qu'il possède une fonction de "nettoyage" de chaîne de caractère qui supprimer les insert select drop delete -- '' "" et autres choses de ce genre comme les < >, etc etc avant leur utilisation dans une requête SQL.

Qu'en pensez vous ? Requête préparée ? Ou plutôt fonction SQL ? Avec ou utilisation de la fonction de "nettoyage" (sous entendu, est-ce utile ou est ce déjà assez sécurisé sans elle ?) ?

Personnellement je dirais que les fonctions SQL sont meilleures car il y a certainement pas mal de choses qui sont faites derrière. Mais je ne trouve pas comment utiliser diverses bases de données sur une même page PHP en utilisant des fonctions SQL, de ce côté là les requêtes préparées ont l'air beaucoup plus pratiques.

Merci d'avance de votre aide