Всегда обрабатывал строковые переменные в SQL-запросах ф-ей mysql_eal_escape_stig(), числовые - itval.Недавно мне попал в руки скрипт, в котором программист заключает переменные в SQL-запросах просто в { }Например, такой запросSELECT COUNT(*) FROM cotacts WHERE use_id = {$use} AND folde_id = {$folde}насколько безопасен?Почему переменные не обрабатываются itval? В этом запросе есть SQL-уязвимость?И ещё несколько вопросов по SQL:Нужно обрабатывать переменные только пришедшие извне (из GET POST и т.д.) или абсолютно все переменные, которые присутствуют в запросе? (Даже те которые устанавливаются в теле скрипта, например $use_id = 28473;)И ещё, есть ли разница и какой вариант лучше выбрать?1) SELECT COUNT(*) FROM cotacts WHERE use_id = '".itval($use_id)."'2)$use = itval($use_id);SELECT COUNT(*) FROM cotacts WHERE use_id = '".$use."'Работаю с БД MySQL
Простой
Средний