[PHP新手]说说下面写法的优劣

$sql="update table set nikename='{$nikename}' where userid={$userid}";

$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)

回复讨论(解决方案)

不懂啊  感觉现在php非常火啊

感觉怎么也得先引用一下
mysql_real_escape_string($nikename)
mysql_real_escape_string($userid)

第二种方法的话，%d 可以确定$userid一定是数字，而非字符串。

php正在学，看不懂

$sql=mysql_query("update ulist set name='$name' where id=$id");

我一般是这么写。不知道楼主这什么区别。

习惯是第一个直接写sql，第二种是封装的时候。

第2种写法远比第1中写法清晰，甚至可以不需要备忘
从运行效率上讲，两者相差无几

$nikename = "test';delete ...";
$sql="update table set nikename='{$nikename}' where userid={$userid}";
var_dump($sql);

两种方法差不多，习惯第一种。但是这两种，都需要对数据进行过滤，否则存在注入。

果断 PDO...

$sql="update table set nikename='{$nikename}' where userid={$userid}";
优点：直观。速度应该稍快于第二种。
缺点：SQL注入风险。

$sql=sprintf("update table set nikename='%s' where userid=%d",$nikename,$userid)
优点：直观且强制userid为数字。
缺点：SQL注入风险。

我一般都是用的第一种。
效率嘛  我猜第一个快些

第二种我没有看过。我算是孤陋寡闻啊。

其实我一直第二种（没作几年php项目），本月到一家公司非说第一种好，想不出来有撒好的问一问写php时间长的兄弟姐妹们

刚开始入门中

熟悉 C 的程序员肯定是习惯 第二种 的

表示一直第一种写法、、、、、

个人觉得第一种比第二种效率要快，
即使只是那么一点点，
毕竟第二种需要经过函数来格式化字符串，
就拿echo和print来说吧，
书籍上有提到过前者要比后者的效率高，
后者会返回值而前者不会，
当然php文档并没有提到过这个，
更何况你现在用的是sprintf，
可能你的公司也是这样觉得的吧，
而且使用MySQLi STMT会不会比sprintf更好呢？
MySQLi STMT貌似更安全，阅读起来也很清晰。

纯属个人意见，我也是新手，哈哈。。。