Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Guilherme Luiz

Diferença de '$string' para '".$string."

Recommended Posts

Olá pessoal,

Hoje me bateu uma dúvida muito "boba" enquanto programava...

Para o MySQL ou em quesitos de segurança, qual a diferença de utilizar uma string assim:

Select * From tabela Where coluna='$string'

Para:

Select * From tabela Where coluna='".$string."'
Temos alguma diferença que interfira na segurança que possa facilitar um Injection ou queda/melhora de desempenho ou é apenas uma questão de estética?
Hoje utilizo o segundo método que apresentei em minhas querys.
Aguardo comentários sobre o tema.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Essa dúvida está mais relacionada ao PHP. Basicamente não há diferença entre as duas formas que você mostrou, levando em consideração que ambas consultas estão entre aspas duplas, assim:



$sql = "Select * From tabela Where coluna='$string'";
$sql = "Select * From tabela Where coluna='".$string."'";


E ambas formas estão sujeitas à SQL Injection, caso não haja o devido tratamento de $string.


Mas melhor, mais seguro e mais fácil do que fazer tratamento em $string para evitar SQL Injection, é utilizar PDO com prepared statement e query parametrizada:


Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.