PHP > Mysql_query.. 2st frågor

Det är inget svar på frågan och jag är också lite nyfiken nu. Som de flesta PHP-utvecklare borde veta expanderas variabelnamn i strängar mellan dubbelcitationstecken, t ex echo "Hello $world";
Om det första exemplet verkligen fungerar visar det på inkonsekvent stränghantering.

Du kan testa att skriva "...{$menu['id']}..." istället, dvs byta till enkla citationstecken inuti strängen. Det andra borde egentligen inte fungera alls.

Klammerparenteser används för att man skall slippa konkatenering. Exempelvis så kan

$kontaktinfo = "Namn: " . $kund->fornamn . " " . $kund->efternamn . " Address: " . $kund->gatuaddress . ", " . $kund->postnr . ", " . $kund->postort;

skrivas

$kontaktinfo = "Namn: {$kund->fornamn} {$kund->efternamn} Address: {$kund->gatuaddress}, {$kund->postnr}, {$kund->postort}";

vilket är klart mer lättläst.

Enligt PHP-manualen kan uttryck inom klammerparenteser i en sträng skrivas precis som de skrivs utanför strängar. Om (har inte testat) det funkar med dubbla citationstecken så beror det troligtvis på att interpolationen utförs före resten av strängen hanteras.

Det första kodexemplet innehåller ingen $result, så det vore dumt att försöka köra mysql_fetch_array med den som parameter (dock hade $result varit ett mer passande namn än $query då variabeln innehåller just resultatet och inte frågan).

Hade 10 minuter över, så jag testade din kod. Förutom det saknade $-tecknet i det första kodstycket så hittar jag inget fel; även den kod du säger inte fungerar visade sig fungera bra för mig. Dock så rekommenderar jag, precis som de flesta andra här, att du använder enkla citationstecken istället för dubbla när du refererar till ett namngivet index).

Min testkod:

<?php 

/* DB structure: 
TABLE: sidor 
FIELDS: menu_id (INT(10)), menu (VARCHAR(50))
DATA: (1,menu1), (2,menu2), (3,menu3), (4,menu4)
*/

// Connect to mySQL
$connect = mysql_connect('localhost', 'root', ''); // Yep, High Security
if (!$connect) {
    die('Could not connect: ' . mysql_error());
}

// Select which database to use
$db = mysql_select_db('TestDB', $connect);
if (!$db) {
    die ('Error selecting DB: ' . mysql_error());
}

// Variable used to test the code
$menu["id"] = 3; // Expected test code output will be "menu3", see DATA above

// Test code part I
$query = mysql_query("SELECT * FROM sidor WHERE menu_id = {$menu["id"]}", $connect); // $query = Result from an sql-query
while($page = mysql_fetch_array($query)){ 
	echo $page['menu'];  
} 

// Test code part II
$query = "SELECT * FROM sidor WHERE menu_id = {$menu["id"]}"; // $query = String with input for an sql-query
$result = mysql_query($query, $connect); // $result = Result from an sql-query
while($page = mysql_fetch_array($result)){ 
	echo $page['menu'];  
}

?>

I PHP-manualen står det att det starkt rekommenderas att använda mysqli framför mysql av ett par olika anledningar. Dels är det säkrare, då en överhängande del av alla PHP-säkerhetshål kommer från SQL-injektion, vilket händer även på sidor där folk tycker att de har kontrollerat indata tillräckligt. Dels är det en ordentligt hastighetsboost i vissa fall, och aldrig en hastighetsförlust. Dels ger det ett mer strukturerat sätt att jobba mot databasen. Dels stöder mysql inte multipla statements. (Att det förenklar byte av databas är ett ytterligare argument, men det är i praktiken inget man gör utan större insatser ändå om man sköter en större sida.)

Utöver detta kan nämnas att mysql inte längre aktivt utvecklas, och därmed inte stöder nyheter i MySQL (och så har varit fallet sedan PHP 4.1.3 eller något).

Det är en första tröskel att använda prepared statements, men på en timme eller så bör man vara helt införstådd, och därefter kan man hitta effektiviseringar.

På _mindre_ sidor klarar man sig utan prepared statements. På större sidor, när prestanda börjar komma in i bilden, så bör man ha gjort rätt från början. Jag är inte emot att man lär sig använda mysql till en början om det gör att man får en lättare väg in i PHP, men det är en av de stora anledningarna till PHP:s dåliga säkerhetsrykte.

Självklart bör man satsa på prepared statements om applikationen man skriver skall användas i skarpt läge.

Dock tror jag att det är en bra idé att lära sig skriva säker kod genom att börja med osäker kod och steg för steg förbättra den. Man får ju ingen djupare förståelse för problemet om man bara gör som någon på ett nätforum säger, praktisk erfarenhet är en betydligt bättre läromästare.

Eventuell prestandaförbättring beror givet på vilka anrop man behöver göra, men jag har sett rent av direkt upplevda hastighetsförbättringar (inte bara ~ms som syns i mätapplikationer) med prepared statements i vissa, fortfarande enkla, fall. Det beror mycket på hur CPU/IO-begränsad man är på databasservern: om IO begränsar tillräckligt mycket så kommer prestandavinsten bara märkas i att man får fler lediga CPU-cykler som inte används.

Från http://stackoverflow.com/questions/687550/preparedstatements-... (bra tråd i ämnet):

Jag håller starkt med om att det är klurigare att sätta sig in i prepared statements. Att PHP är så vida spritt är just för att det är så rackarns enkelt att som nybörjare skriva en applikation med databasanrop (det var därför jag satte mig in i PHP), så om mysqli med prepared statements vore obligatoriskt så hade säkert en enorm mängd användare försvunnit. Dock är det ju just nybörjare som hade fått invärdeskontroll "på köpet", vilket hade säkrat upp stora delar av internet, rent ut sagt. (Det _ersätter_ inte invärdeskontroll i alla fall, men det täpper igen många oönskade hål.)

Också medhåll. Genom att hålla inkörströskeln låg så är det mycket större chans att man fortsätter hålla intresset, och att börja böka med jobbigare koncept redan i "hello world"-stadiet kan vara oöverkomligt för nya användare.