J'ai des amis qui me disent de changer du code.Quelle est la différence entre intval et db_escape dans SQL?
L'un d'eux me dit de changer mon code dans:
intval($_GET['id']);
Et l'autre me dit de changer en:
db_escape($_GET);
Qui a raison, et pourquoi?
Intval est spécifiquement pour les nombres. Avec intval vous transformez tout ce qui n'est pas un nombre valide en "0". Avec db_escape(), vous pouvez préparer des chaînes et d'autres éléments à insérer dans une base de données. Ainsi, les deux ont raison, cela dépend de ce que vous voulez insérer :-) Si vous souhaitez insérer un numéro ou si vous voulez sélectionner une entrée avec son identifiant
$query = "SELECT * FROM table WHERE id = " . intval($GET_["id"]);
alors vous devriez utiliser intval. Si vous voulez insérer un texte, vous devriez utiliser db_escape.
$query = "INSERT INTO table (stringCol) VALUES('" . db_escape($_POST['string']) . "')";