Это эффективный способ создания потока сообщений, или есть лучший способ?

Question

$FSQL = $pdo->query('SELECT * FROM `connections` WHERE `uid`="'.$my_id.'" && `type`="1" ORDER by `id` DESC'); 
$myfriends = '`uid`="'.$my_id.'" '; 
while($po = $FSQL->fetch(PDO::FETCH_ASSOC)){ 
    $myfriends .= ' || `uid`="'.$po['cid'].'"'; 
} 

$dsk = $pdo->query("SELECT * FROM `posts` WHERE ".$myfriends." ORDER by `id` DESC LIMIT ".$limitCount); 

Я пытался создать хороший поток сообщений, и я, наконец, получил свой код. Но это кажется неэффективным, если у вас есть большое количество подключений (соединения - это что-то из друзей, страниц или событий).

Может ли кто-нибудь сказать мне, есть ли лучший способ сделать это?

--by пути: это работает отлично уже, но я чувствую, что я буду столкнуться с проблемами вниз линию

Answer 1

$FSQL = $pdo->query('SELECT * FROM соединений WHERE UID ="'.$my_id.'" && типа ="1" ORDER by идентификатор DESC');

Это уязвимы для SQL Injection. Вы должны использовать параметры и подготовленные операторы. См. Documentation.

Работали Пример

$sql = $pdo->prepare('SELECT * FROM `table` WHERE `uid`=:uid'); 
// Create the SQL statement, with the parameter prefixed by a ":". 
$userID = "username"; 
// Grab the value you wish to bind to your parameter. 
$sql->bindParam(':uid', $userID); 
// Bind the values, using the bindParam method. 
$sql->execute(); 
// Execute the statement with the parameters bound to the SQL query. 

Answer 2

Вы не хотите использовать подзапрос? Что-то вроде этого ...

$dsk = $pdo->query(
    "SELECT * 
     FROM `posts` 
     WHERE uid IN (
      SELECT cid 
       FROM `connections` 
      WHERE `uid`="'.$my_id.'" && `type`="1" 
     ) 
     ORDER BY `id` DESC LIMIT " . $limitCount); 

И старайтесь не использовать *, когда вам не нужны все поля.