PHP - SQL 쿼리를 작은 따옴표 나 큰 따옴표로 묶으시겠습니까?

Question

작은 따옴표 사용시 차이점이 있습니까? 전체 SQL 쿼리를 큰 따옴표로 묶어서 사용 하시겠습니까?

어느 것이 더 낫다 : (작은 따옴표 포함)

이 방식 :

$username = mysql_real_escape_string($username); 
    $password = mysql_real_escape_string($password); 

    $sql = 'SELECT * FROM users WHERE username = "' . $username . '" AND password = "' . $password . '" LIMIT 1'; 

?

또는이 접근

(따옴표 사용) :

$username = mysql_real_escape_string($username); 
    $password = mysql_real_escape_string($password); 

    $sql = "SELECT * FROM users WHERE username = '{$username}' AND password = '{$password}' LIMIT 1"; 

이 작업을 수행 할 수있는 더 좋은 방법이 있나요?

나는 항상 PHP에서 작은 따옴표를 선호하므로 첫 번째 접근 방식을 좋아합니다. 그래서 전체 SQL 쿼리를 작은 따옴표로 묶어서 사용하는 것이 좋으며, 변수 나 데이터 주위에 큰 따옴표를 사용하는 것이 좋으며 크로스 플랫폼이며 MySQL 이외의 데이터베이스에서도 사용할 수 있습니다.

Answer 1

이러한 접근 방식 중 하나 대신 PDO을 사용하십시오. 문자열 대신 매개 변수를 사용할 수 있습니다.

$sth = $dbh->prepare('SELECT * FROM users WHERE username = :username AND password = :password LIMIT 1'); 
$sth->bindParam(':username', $username, PDO::PARAM_STR); 
$sth->bindParam(':password', $password, PDO::PARAM_STR); 
$sth->execute(); 

한편 암호는 일반 텍스트로 동시에 사용하지 않아야합니다.

Answer 2

둘 다 똑같이 무시 무시합니다. :) mysql_real_escape_string에 대해 들어 본 적이없고 PDO를 acrosman으로 사용하는 것을 잊어라. 특히 준비 문을보십시오 : http://www.php.net/manual/en/pdo.prepare.php. 이것은 "크로스 플랫폼이며 MySQL 이외의 데이터베이스에서도 사용할 수 있습니다!"라고 말하면서 특히 중요합니다. 저크로서 벗어나려고하지는 않지만 힌트 : mysql_로 시작하는 메소드를 호출하는 코드는 크로스 플랫폼이 아닌 probabl입니다. 그러나 PDO를 사용하면 은이므로 Mysql 이외의 데이터베이스를 사용할 수 있습니다. 물론, SQL의 다른 맛에 대한 명백한주의 사항이 있지만 적어도 매개 변수화 된 쿼리를 사용하면 이스케이프해야하는 문자열의 맛이 다릅니다.