Wpis z mikrobloga

@aptitude:

$usrname = mysqli_real_escape_string($_POST['usrname']);

@aptitude:

@Arveit:

2015

ręczne escape'owanie zmiennych

@Ginden: Ty się nie śmiej, w przypadku MySQL to nie ma sensu ale w przypadku prawdziwych baz danych sens może mieć.

@plushy: W jakich i czemu?

@Ginden: Zwykle używa się prepeared statements jako rozwiązania typu silver bullet. Niestety PS ma tę wadę że jeśli execution plan zostanie przygotowany od razu to indeksy filtrowane nie zostaną użyte a i ogólnie plan może nie być optymalny. SQL Server 2008 na pewno ma takie smaczki, postgres (chyba) nie, nie jestem pewien co u Oracle. Oczywiście kręcenie wydajności to jest już wyższa matematyka więc nam wystarcza to że nie należyPokaż całość

@plushy: Słusznie, sam znam podobne problemy, ale w swojej pracy miałem je w zasadzie dwa razy, uznałem je za dość egzotyczne i rozwiązałem je przez stored procedure z sp_executesql. Jak często się trafiają w prawdziwym życiu?

@Ginden: Raz trafiłem na taki przypadek. Ale ja jestem programistą php to wiesz, nie potrzebuję ani SQL ani wydajności.

@plushy: BTW - wiesz, że SQL Server wykonuje czasem autoparametryzację zapytań i to jest przyczyną tego, że taka optymalizacja czasem działa (bo inaczej byłoby to równoważne do OPTION RECOMPILE).

Pokaż spoiler

http://www.benjaminnevarez.com/2010/06/auto-parameterization-in-sql-server/

@Ginden: Wiem że istnieje ale szczegóły są dla mnie mgliste, niestety temat zbyt skomplikowany by go dobrze znać pracując przy tym z doskoku. Jeśli w końcu znajdę robotę w bazach danych to może wtedy.

@plushy: Wiesz, SQL to nie nauka, tylko sztuka, bo wszystkie szczegóły implementacji trzeba poznawać na własną rękę. ;)

@Ginden: Poznawanie wszystkiego na własną rękę niezbyt efektywne, najlepiej pracować z innymi którzy się znają i uczyć nawzajem od siebie.

Aczkolwiek trzeba się przyzwyczaić że odpowiedzią na każde pytanie jest "być może" i że trzeba wszystko w kółko sprawdzać.