Михаил Ливач, да, конечно, вырабатывать (и постоянно апдейтить) какие-то "соглашения" (и постоянно следить что все разработчики в курсе этих соглашений, и их апдейтов) - это, конечно же, делает жизнь проще.
Вы и подготовленные выражения, небось, тоже используете на основе этих соглашений, "вот эти данные будем защищать, а вот эти не нужно"? Для упрощения жизни, так сказать?
fanus, а как вы сами думаете, какое отношение функция под названием htmlspecialchars может иметь к sql инъекциям?
ну, то есть если вы конечно имеете представление о том, что означают оба выделенных жирным шрифтом слова.
Глеб Сугак, уберите первый вариант, от него глаза кровоточат. И никогда так не пишите, ни для теста, ни для чего вообще.
К тому же он настолько смущает неокрепшие умы, что никто не в состоянии прочесть остальные два. Которых вполне достаточно для демонстрации проблемы.
Филипп Гинкель, вы код вообще что ли не смотрели в вопросе? При чем тут синтаксис? Тут никакого синтаксиса нет
Плюс если ошибка синтаксиса, то БД всегда выдаст ошибку.
Михаил Ливач, КАКАЯ, нахрен, РАЗНИЦА?
Вы собираетесь сидеть, и над каждой переменной думать, приходит она из запроса или нет? Больше совсем заняться нечем?
И это еще если вы можете четко отследить, откуда пришла переменная. Что для большинства выводимых данных в принципе невозможно.
Плюс надо научиться уже смотреть на вопросы не как джун на собеседовании.
А понимать, чем отличается публичный сервис вопросов и ответов от задачки, которую поставили лично вам. Вопрос озаглавлен как "Передача массива из php в js?".
И любой, кто придет в него из поиска, уже точно не будет знать ни про $_LNG, ни про запросы. Он будет просто искать код, чтобы скопировать.
поэтому в ответе должен быть не говнокод, написанный на скорую руку, а минимально приемлемое решение.
