Quelle est la sécurité de cette instruction MySQL construite en PHP? Serait-il vulnérable à une injection SQL?Quelle est la sécurité de cette déclaration MySQL dans un script PHP?
$sql = sprintf("INSERT IGNORE INTO my_table VALUES(%d, %d, 1, NOW())",
mysql_escape_string($_SESSION['client']['id']),
mysql_escape_string($_POST['id']));
Vous avez des références récentes pour votre réclamation sur des guillemets simples améliorant la vitesse dans ce cas? – Salaryman
Pas de repères, mais c'est plus une question de bon sens. Avant d'envoyer la chaîne à sprintf - avec des guillemets doubles, l'interpréteur essaiera de rechercher des variables $ et d'autres séquences échappées. Les guillemets simples, ce ne sera pas. Bien que la différence de vitesse soit trop petite pour vraiment faire la différence. – jimyi