讨论一下一个PHP中SQL的常见问题

笨狼追风

一个常见（我常见）例子：

$sql = "SELECT mid,password,jur,realname,type FROM `advunion`.`template_members` WHERE username = '".$username."'";

类似这样的地方，我通常写成

$sql = "SELECT mid,password,jur,realname,type FROM `advunion`.`template_members` WHERE username = '$username'";

注意只有WHERE后面的不同，我想问为什么我见的大多数写法都是上面的，下面的写法有什么问题么？

如果没问题，为什么很多人喜欢上面的写法，不麻烦么？还容易出错。

geel

习惯问题吧

qiyu15555

偶比较喜欢上面的那种，因为当偶用多引号后，特别是嵌套的那种，下面的那种更容易错些，不过如果是LZ所示的，我也会用前面的那种，下面的那种就没有必要了，~~

笨狼追风

原帖由 geel 于 2006-11-17 11:39 发表
习惯问题吧

我问过一些人，他们说下面的会出错，我看是讹传讹诈~

原帖由 qiyu15555 于 2006-11-17 12:05 发表
偶比较喜欢上面的那种，因为当偶用多引号后，特别是嵌套的那种，下面的那种更容易错些，不过如果是LZ所示的，我也会用前面的那种，下面的那种就没有必要了，~~

不赌你后半句打错了 ：）

UIRL

记得addslashes,或者mysql_escape_string,不管哪种都可以.

p.s:我喜欢下面的.简单方便些.

rardge

原帖由 笨狼追风 于 2006-11-17 10:37 发表
$sql = "SELECT mid,password,jur,realname,type FROM `advunion`.`template_members` WHERE username = '".$username."'";

我就是用这个写法。我觉得和用什么文本编辑器有关，我用 editplus，这种写法可以在程序中一眼看到哪些是变量。如果全部写在引号中，那么颜色是一样的，要自己根据语法来找。
其他代码编写环境可能不需要这样。
对 SQL 语法本身没有任何影响。
另外，说下面那种会出错的话，对这种简单变量不会有影响，对数组变量的确会出错，要用花括号了，手册上的说法比我准确。

geel

我倒是觉得第一种会把人搞晕，而且看代码的时候不如第二种直观，总要不停的区分不同的引号
我用的最多的是prepare和placeholder。
$db->query("select  * from table where cond=?", array($cond));