Új hozzászólás Aktív témák
-
Sk8erPeter
nagyúr
válasz
MineFox54 #17627 üzenetére
1. Nem konkatenálunk SQL-utasítást escape-eletlen inputtal, SOHA, semmilyen körülmények között (azt sem érdemes felhozni mentségnek, hogy de hát az szerintem megbízható adat, mert nincs olyan kívülről érkező adat, amit megbízhatónak érdemes tekinteni - ez a paranoiás szemlélet célravezetőbb), és amennyiben lehetséges, prepared statementeket KELL használni a különböző paraméterekre. És jelenleg lehetséges, mivel MySQLi-t használsz, szóval mindenképp állj át arra.
2. Az ilyen jellegű mezőkhöz aliasokat illik használni (pl. itt SUM(tav) AS distance vagy hasonló), aztán az aliasnak megfelelően hivatkozni rájuk (pl. itt $row['distance'] - szándékosan nem használtam magyar változónevet).
A konkrét érdekes eltéréshez nehéz többet hozzátenni, több infót kellene tudni, mi változhat a különböző futtatások között.
[ Szerkesztve ]
Sk8erPeter