Как правильно расставить кавычки?

Question

[BigSmoke]

Мне нужно из php скрипта сделать update в mysql.
Есть такая строчка:
$sql = $db->query("UPDATE vt SET rc = $js['rc']");
Т.к. $js['rc']; массив я изменил эту строчку на такую:

$sql = $db->query("UPDATE vt SET rc =". $js['rc'] ."");

Теперь в конце две кавычки подрят "" и это не работает.
Подскажите, пожалуйста, как правильно здесь расставить кавычки, чтобы все заработало.

Answer 1

[SvizzZzy]

$sql = $db->query("UPDATE vt SET rc =". $js['rc']);

или так:

$sql = $db->query("UPDATE vt SET rc ='{$js['rc']}' ");

Answer 2

[Александр Новиков]

Такой способ запроса - прямой путь к sql injection
Правильнее использовать prepared statements ( php.net/manual/ru/pdo.prepared-statements.php )

$sql= $db->prepare("UPDATE vt SET rc = :value");
$sql->bindParam(':value',  $js['rc']);
$sql->execute();

Comments

[Александр]

prepare не защищает от иньекции....

[Александр Новиков]

Александр: А выдержка из официальной документации по ссылке, очевидно, лжет : Параметры подготовленного запроса не требуется экранировать кавычками; драйвер это делает автоматически. Если в приложении используются исключительно подготовленные запросы, разработчик может быть уверен, что никаких SQL инъекций случиться не может (однако, если другие части текста запроса записаны с неэкранированными символами, SQL инъекции все же возможны; здесь речь идет именно о параметрах).

Prepared statements не спасут на 100%, но этого я и не писал. Все что я написал - это то, что биндинг параметров как в вопросе легко может привести к sql injection