PHP - SQL 查询周围的单引号或双引号？

Question

在整个 SQL 查询中使用单引号与使用双引号有什么不同吗？

哪个更好：

这种方法（带单引号）：

    $username = mysql_real_escape_string($username);
    $password = mysql_real_escape_string($password);

    $sql = 'SELECT * FROM users WHERE username = "' . $username . '" AND password = "' . $password . '" LIMIT 1';

?

或者这种方法（使用双引号）：

    $username = mysql_real_escape_string($username);
    $password = mysql_real_escape_string($password);

    $sql = "SELECT * FROM users WHERE username = '{$username}' AND password = '{$password}' LIMIT 1";

有没有更好的方法来做到这一点？

对我来说，我喜欢第一种方法，因为我总是更喜欢 PHP 中的单引号。所以我想确保在整个 SQL 查询中使用单引号是可以的，在变量或数据周围使用双引号是可以的，并且是跨平台的，并且可以与 MySQL 以外的数据库一起使用！

Answer 1

使用PDO 而不是这些方法中的任何一种。它将允许您使用参数而不是字符串。

$sth = $dbh->prepare('SELECT * FROM users WHERE username = :username AND password = :password LIMIT 1');
$sth->bindParam(':username', $username, PDO::PARAM_STR);
$sth->bindParam(':password', $password, PDO::PARAM_STR);
$sth->execute();

顺便说一句，请确保您没有同时使用纯文本密码。

Answer 2

它们都同样可怕。 :) 忘记你曾经听说过 mysql_real_escape_string 并使用 PDO 作为 acrosman 提到的。具体看prepare语句：http://www.php.net/manual/en/pdo.prepare.php。正如您甚至说的那样，这一点尤其重要：“是跨平台的，可以与 MySQL 以外的数据库一起使用！”不是想表现得像个混蛋，而是提示：调用以 mysql_ 开头的方法的代码可能不是跨平台的；）。但是，使用 PDO，将允许您使用 Mysql 以外的数据库。当然，这里有不同风格的 sql 的明显警告，但如果使用参数化查询，至少你没有不同风格的字符串需要转义。