При sql запросе писать с кавычками или без?

Question

[Дима]

Добрый вечер всем. Я только начинаю изучать PHP и читаю стати по по запросам к базе данных. И в зависимости от источника примеры пишут по разному . Например так :
$query = 'SELECT * FROM `USERS`';
Или так:

$result = mysql_query("SELECT last_name FROM first_table WHERE name='$name'",$db);

Прошу помочь разобраться в вопросах :
1) Как безопаснее и правильней писать имя таблицы и базы с кавычками или без кавычек . Если с кавычками то с двойными или одинарными.
2) $name нужно писать с кавычками или без кавычек?
Я так понимаю, что если написать не правильно, то сильно возрастает угроза sql аипки

Answer 1

[Сослан Алдатов]

Безопаснее и правильнее использовать PDO или MySQLi вместо устаревших mysql_ - функций.
Ну, и с обоими вариантами нужно использовать подготовленные запросы вместо того, чтобы писать их вручную.

Получится что-то вроде этого:

$host = '127.0.0.1';
$db   = 'test';
$user = 'root';
$pass = '';
$charset = 'utf8';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$opt = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
];
$pdo = new PDO($dsn, $user, $pass, $opt)

$stmt = $pdo->prepare("SELECT last_name FROM first_table WHERE name=?");
$stmt->execute([$name]);
$last_name = $stmt->fetchColumn();

Comments

[Дима]

Большое спасибо за интерес к моему вопросу. Я так понимаю знаком вопроса указывается где должна быть переменная. А сама переменная указана в строке
$stmt->execute([$name])
А как указать две и более переменные ?

[Сослан Алдатов]

Дима, да, все верно. Если переменных две или больше, просто передавайте в execute() массив со всеми этими переменными, как-то так:

$stmt = $pdo->prepare("SELECT last_name FROM first_table WHERE name=? AND age=?");
$stmt->execute([$name, $age]);

[Дима]

Ещё раз спасибо за ответ. У меня последний уточняющий вопрос. В ваших примерах таблицы указаны без кавычек. Если я их укажу с кавычками это будет ошибкой?

[Сослан Алдатов]

Дима, заключать имя таблицы в кавычки не имеет никакого смысла. Если хочется все сделать правильно, заключайте имена таблицы в обратные апострофы (`) — это, как правильно замечено в одном из ответов, позволит использовать многие зарезервированные слова в качестве имен таблиц. Но в целом, имя таблицы без апострофов — не ошибка.

И еще: не забывайте отмечать правильные ответы на ваши вопросы решением :)

Answer 2

[galaxy]

1) Как безопаснее и правильней писать имя таблицы и базы с кавычками или без кавычек . Если с кавычками то с двойными или одинарными.

Это не кавычки, а обратные апострофы (backticks).
Правильнее - в апострофах. Без них нельзя использовать многие зарезервированные слова в именах таблиц/колонок/пр., а также ограничен набор символов. С апострофоми можно делать так:

SELECT * FROM `select` WHERE `select`.id > 100;
SELECT * FROM `a b`;
CREATE TABLE `a``b` (`c"d` INT);
select * from tablename group by `group`;

Comments

[Дима]

Спасибо за интерес к моему вопросу. А использование этих апострофов не увеличивает шанс sql инъекции ?

[galaxy]

Дима, нет, ни кавычки, ни апострофы вообще никакого отношения не имеют к sql инъекциям. Инъекция потенциально возникает, когда вы непроверенные данные (полученные от пользователя, например) подставляете в запрос. Применительно к наименованиям таблиц и колонок эта ситуация встречается редко - обычно таблицы и колонки выбирает программист.

[Ипатьев]

galaxy, не нужно вообще вводить лишние понятия, такие как "непроверенные данные" или "данные от пользователя". Источник происхождения данных не имеет никакого значения.
поэтому надо просто написать, "Инъекция потенциально возникает, когда вы данные подставляете в запрос." И дальше сделать простой, как две копейки вывод: не подставлять данные в запрос, а отправлять их отдельно, как показано в ответе Сослан Алдатов

Answer 3

[Akina]

1) Как безопаснее и правильней писать имя таблицы и базы с кавычками или без кавычек . Если с кавычками то с двойными или одинарными.

В MySQL используется три разных типа кавычек.

1. Прямая кавычка '

Используется для обрамления литералов, требующих такого обрамления, а именно: строковые, даты-времени, JSON, компоненты имени учётной записи и пр. Подробнее см. Literal Values и Specifying Account Names

2. Обратная кавычка `

Используется для обрамления имён объектов (БД, таблиц, полей, имён функций/процедур и пр.).

Если имя объекта не содержит нелегитимных символов (подробнее см. Schema Object Names), не является служебным или зарезервированным словом (см. Keywords and Reserved Words), использование обратной кавычки опционально, иначе обязательно.

3. Двойная кавычка "

Используется для обрамления строковых компонентов (имя, значение) для типа данных JSON (внутри строкового литерала с JSON-значением, ограниченного одинарными кавычками). Допускается использование вместо одинарной кавычки для обрамления литералов.

При включённом ANSI_QUOTES в SQL Mode указанные использования отменяются, и двойная кавычка используется для обрамления имён объектов (т.е. дублирует использование обратной кавычки).

ИТОГО с точки зрения безопасности:

- имена объектов ВСЕГДА обрамлять ТОЛЬКО обратной кавычкой
- литералы, требующие обрамления - обрамлять ТОЛЬКО одинарной кавычкой
- двойную кавычку использовать ТОЛЬКО как символ в составе литерала (строкового, JSON)

Comments

[Дима]

Большое спасибо за полный и хороший ответ. Приятно, что откликнулись на мой вопрос :)

Answer 4

[ZykaMyzyka]

1) безопаснее с кавычками - так говорит препод по бд (почему не спрашивал, преподает уже больше 10 лет)
2) писать с кавычками - вы же сравниваете атрибут таблицы с определенными именами, а не другим атрибутом

Comments

[ZykaMyzyka]

без кавычек может произойти так называемый sql injection, погугли что это

[Akina]

ZykaMyzyka, с кавычками инъекция выполняется с абсолютно той же самой вероятностью.

[Ипатьев]

ZykaMyzyka, я вам рекомендую удалить свой ответ, потому что он совершенно безграмотный.
Во-первых, вы не отличаете кавычки от обратных апострофов
Во-вторых, я уж не знаю - или преподаватель не соображает, или вы ничего не поняли - но никакие кавычки инъекциям не мешают

[Kirgus]

ZykaMyzyka, Поржал с ответа, спасибо :DDD