Discussion :

[alain78]

Bonjour,

Je ne sais pas si je poste dans le bon forum.

Voici ma question.

Je code en PHP des requêtes sur des tables MySql.

Des 2 requêtes ci dessous (identiques) quel est le meilleur codage: avec les quotes et les apostrophes ou bien sans ? Car mettre les quotes et les apostrophes prend du temps.


Requête 1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql="SELECT `champ` FROM `table` WHERE `champ`='$variable' ";

Requête 2

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql="SELECT champ FROM table WHERE champ=$variable ";

Merci à vous.

[beekeep]

Bonjour,

Je ne sais pas si je poste dans le bon forum.

Déplacé

Des 2 requêtes ci dessous (identiques) quel est le meilleur codage: avec les quotes et les apostrophes ou bien sans ? Car mettre les quotes et les apostrophes prend du temps.

il ne faut pas placer la valeur directement dans la requête, sinon gare aux injections SQL.

il faut utiliser la fonction mysql_real_escape_string

[stealth35]

la 2eme requête risque de ne pas être bonne en plus

Car mettre les quotes et les apostrophes prend du temps.

ca c'est une excuse vraiment pourris

[RunCodePhp]

Des 2 requêtes ci dessous (identiques) quel est le meilleur codage: avec les quotes et les apostrophes ou bien sans ?

Il n'y a pas de meilleur codage à sens car c'est un tout petit peu plus nuancé que ça.

Ca dépend avant tout du type de donnée, car si c'est une chaine de caractère, une date, etc ... les quotes sont obligatoires, donc il faudra les mettre sinon ça débouchera à une erreur de syntaxe.
De plus, comme le précise Beekeep, il faut un minimum de sécurité, il faut échapper certains caractères, donc rajouter aussi un mysql_real_escape_string.
Ou alors on utilise PDO et les requête préparée.
Un excellent petit article tout frais : Comprendre PDO


Si c'est un type INT, un nombre, théoriquement il ne faut pas de quote, par contre, pour le coté sécurité il faut aussi "typer" la donnée, comme (int)$variable ou intval($variable) par exemple.


Bref ... ce n'est ni une question de temps, ni de mieux pas mieux.

[alain78]

Merci à vous,

Bien sûr j'ai omis de préciser que touts mes variables sont le résultat de la fonction mysql_real_escape string.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$variable=mysql_real_escape string($variable);

Puis après seulement j'intègre ma variable dans la requête.

De toute façon la valeur d'une variable (de type string) qui n'est pas 'passée' via cette fonction ne peut pas être écrite dans la table MySql. J'ai constaté cela chez mon hébergeur (Infomaniak). C'est très bien !

Je vais donc continuer à mettre les quotes (`) et les apostrophes (').

MErci.