1. PHP / Говнокод #8411

    +165

    1. 1
    2. 2
    mysql_query("DELETE FROM tblTokens WHERE intRestaurantID = $id AND cToken = '$token';");
mysql_query("INSERT INTO tblTokens (intRestaurantID, cToken) VALUES ($id, '$token');");

    Увеличиваем id, наверное.

    Запостил: 1101_debian, 03 Ноября 2011

    Комментарии (41) RSS

    • ava Lure Of Chaos 03.11.2011 15:12 # 0

      что-что, какой UNIQUE? только скулинжекшн
      Ответить

      • ava Nemoden 03.11.2011 16:07 # +1

        с чего вы взяли, что $token не экранируется?
        Ответить

        • ava Lure Of Chaos 03.11.2011 16:39 # 0

          "не делайте никаких предположений". нужно использовать PDO
          Ответить

          • ava Nemoden 03.11.2011 16:42 # +1

            Лично мне и без PDO прекрасно живется.
            Не согласен ни с одним из ваших замечаний, моё мнение:
            - предположения делать можно
            - PDO - не панацея
            Ответить

            • ava Lure Of Chaos 03.11.2011 16:54 # −1

              - можно, но чревато ошибками. а вдруг случайно где-то что-то забыли заэкранировать? и тут начинается веселье.
              - экранирование и иную обработку данных удобнее всего (лучше читать НУЖНО) производить в том же месте (слое), где производится работа с ними. Т.е. для БД эскейпить нужно данные прямо перед запросом, а теги вырезать прямо перед выводом на экран.


              таким образом,
              - не портим данные, экранируя их в формат, допустимый в одном случае и недопустимый в другом
              - нет необходимости помнить, какие данные безопасны в текущем случае, а какие - нет
              - достигается некоторая универсальность и модульность.


              PDO, хоть и не лишен других недостатков, но эти преимущества содержит.
              рано или поздно вы все равно свой PDO напишете, но, скорее всего, менее мощный и безглючный.
              Ответить

              • ava Nemoden 03.11.2011 17:07 # 0

                Уже написал - не глючный ибо совсем минимальный :)
                Возможно, вы меня несколько не так поняли: я не против PDO, он мне нравится и я его использую в одних проектах и не использую в других. И там и там всё прекрасно (то, о чем я говорил). А еще есть mysqli::prepare - тоже использую. Просто хотел сказать, что на PDO свет клином не сошелся.
                Ответить

                • ava Lure Of Chaos 03.11.2011 17:10 # 0

                  > на PDO свет клином не сошелся
                  в мире php как-то маловато хороших (удобных и быстрых) слоев абстракции над БД.

                  К слову, как-то приходилось сталкиваться с adodb - ну и хреень....
                  Ответить

                • ava NemoReturns 05.11.2011 23:30 # 0

                  от этих prepared statements все равно толку никакого нет, что мешает реализовать подобный функционал

                  $db->insert($table, $entry); где $entry массив, и в нём все строковые элементы автоматически эскейпется
                  Ответить

                  • ava Lure Of Chaos 07.11.2011 00:41 # 0

                    это уже шаг к QueryBuilder, а там и до ORM недалеко
                    Ответить

                    • ava Vasiliy 07.11.2011 09:43 # 0

                      Я вот не вижу смысла использовать ORM зачем еще один уровень абстракции ?? $db->query($sql,$param); Вполне годно.
                      Ответить

                      • ava Lure Of Chaos 07.11.2011 10:58 # 0

                        это пока сложность запросов не превышает ваш уровень мастерства в sql
                        Ответить

                        • ava Vasiliy 07.11.2011 12:14 # 0

                          Ну тогда тем более не нужен этот ORM. Все запросы сложные запросы в отдельные хранимые процедуры.
                          Ответить

                        • ava roman-kashitsyn 07.11.2011 12:25 # 0

                          Как завещал нам медведь Балу из диснеевского "Маугли", "запросы должны быть простыми".
                          Ответить

          • ava sectus 04.11.2011 07:55 # 0

            Ну перепишет он:
            $pdo->query("DELETE FROM tblTokens WHERE intRestaurantID = $id AND cToken = '$token';");
$pdo->query("INSERT INTO tblTokens (intRestaurantID, cToken) VALUES ($id, '$token');");

            Будет ли он счастлив?
            Ответить

    • ava bot-minurast 03.11.2011 18:07 # 0

      может там триггер ещё
      Ответить

    • ava anmiles 06.11.2011 19:31 # 0

      а если удаляемых рядом было/может быть несколько?
      Ответить

    • ava guest 08.11.2011 01:35 # 0

      Ребят, предложите более вменяемый и компактный способ гарантированно вставить в таблицу единственную запись с уникальным набором значений некоторых полей. Заменив предыдущую (предыдущие) или вставив новую, если такой пока нет. Вне прочего контекста - языкового, проектного и т. п. Если контекст есть, то опишите его, а то неприкольно.
      Ответить

      • ava bugmenot 08.11.2011 02:56 # 0

        Консультировать пользователей PHP/MySQL еще более неприкольно.
        составной ключ, блеать
        Ответить

      • ava Vasiliy 08.11.2011 08:04 # +1

        Как исключение. http://dev.mysql.com/doc/refman/5.0/en/insert-on-duplicate.html Более носом тыкать не буду. Курить ман до полного просветления.
        Ответить

    Добавить комментарий