Tengo el hábito de filtrar la variable enviada por el usuario a través de mi función int que asegura que sea un número (si no devuelve 0) y no se cita la variable en consultas de mysql.cotizaciones alrededor de valores int en consultas mysql
¿Es esa una mala práctica? Creo que decidí hacer esto por motivos de rendimiento. Además, siempre he pensado que los números no se deben poner entre comillas.
Ejemplo:
if($perpage != $user['perpage']){
if($perpage == 50 || $perpage == 100 || $perpage == 200){
$DB->query("UPDATE users SET perpage=$perpage WHERE id=$user[id]", __FILE__, __LINE__);
}
}
Me interesa saber si gano algo en términos de rendimiento al hacer esto. Obviamente me sentiría mucho más seguro poniéndoles comillas. – domino
Parece que está usando alguna forma antigua de obtener el archivo y la línea del error. No hay necesidad de configurarlo manualmente hoy en día. trigger_error() o debug_backtrace() lo harán por usted –
en cuanto al rendimiento. ¿Experimenta algún problema con esto ahora? –