Самый эффективный способ запуска запроса

Question

С PHP5 и с удалением mysql_query (RIP.) Я довольно смущен тем, что наиболее эффективный способ запуска запроса. Поскольку существует несколько способов.

Варианты, которые я знаю, таковы:

Вариант 1:

$getInfo = "SELECT * FROM app2 WHERE id='". $appID ."' "; 
$oStmt = $dbportal->prepare($getInfo); 
$oStmt = $dbportal->execute(); 

Я считаю, что это PDO.

Вариант 2:

$createQuery="INSERT INTO usr2 SET login='". $user ."', role='". $role ."'"; 
$dbportal->query($createQuery); 

своего рода PDOish?

Был бы кто-то настолько любезен, чтобы подтолкнуть меня в правильном направлении? Ссылка тоже хорошая, ничего не нашел

OfficialBAMM. \ О/

Answer 1

Чтобы предотвратить инъекции SQL, вы должны использовать подготовленные заявления с заполнителями:

$getInfo = "SELECT * FROM app2 WHERE id = :id"; 
$oStmt = $dbportal->prepare($getInfo); 
$oStmt->execute(array(':id' => $appID)); 

Эффективность не должна быть проблемой, пока вы не получите правильный код. Преждевременная оптимизация - это корень всего зла. И медленная часть выполнения запроса к базе данных - это доступ к данным, а не так, как вы ее называете.