Не ли в коде PHP чего-то лишнего?

Question

[Роман]

Поиск

$query='SELECT h1 FROM post WHERE h1 LIKE :search';
	$stmt= $pdo->prepare($query);
	$stmt->execute(array(':search' => '%'.$searchVal.'%'));
	while ($news = $stmt->fetch(PDO::FETCH_LAZY)){

Главная страница вывода постов

$result0 = $pdo->prepare('SELECT * FROM post ORDER BY id DESC LIMIT '.$start.', '.$num.'');
	$result0->execute();
	while ($news = $result0->fetch(PDO::FETCH_LAZY)){

Страница тегов

$tag = $pdo->prepare('SELECT * FROM post WHERE hashtag1 = ? OR hashtag2 = ? OR hashtag3 = ? OR hashtag4 = ? ORDER BY id DESC');
	$tag->execute(array($hashtag1, $hashtag2, $hashtag3, $hashtag4));
	while ($news = $tag->fetch(PDO::FETCH_LAZY)){

PS не судите строго

Answer 1

[Mikhail Osher]

В целом, приятно видеть, что люди используют PDO, а не mysql_query.
Глазик не дергался от ужаса. Вроде, все отлично.
Остального не видел, но убедитесь, что у вас разделена логика от представления.

Answer 2

[Дмитрий Ковальский]

Несколько пугает текст "страница тегов,поиска". Не должно быть на страницах представлений и разметки - sql. Ни в каком виде. Только вызов методов класса, внутри которых уже могут прятаться запросы в бд. Ну и не привыкайте к звездочке. При использовании join появится много мусора. Так же рекомендую оградить доступ к бд до уровня "только хранимые процедуры". Поддержка sql-кода станет попроще. Перепишете хранимку, а приложение останется нетронутым

Answer 3

[Олег Красавин]

1) В первом и втором фрагментах не юзаются prepared statements.
2) Вместо прямой работы с PDO попробуйте нормальный DBAL, например doctrine/dbal

Comments

[Mikhail Osher]

Вообще-то везде юзаются prepared. Какой профит от DoctrineDBAL в микроприложении? Лишний оверхед? Круто!

[Олег Красавин]

Mikhail Osher: в первом юзаются, да. Во втором нет. А вообще, по коду сложно судить насколько это приложение "микро".

[Роман]

Олег Красавин: это практически весь php-код на сайте.