[MySQL] Variablen in Strings

[Minecraft]

Hey,

ich arbeite grade mit PHP und MYSQL und habe mal eine Frage wegen Sicherheit:

Wenn ich Variablen direkt in Strings verwende, also z.B.

PHP-Code:

$id = 234;
$sqlquery="SELECT * FROM tabelle WHERE id=$id"; 


Sollte man das nicht machen oder ist das irgendwie unsicherer wie wenn man es normal macht? Also so:

PHP-Code:

$id = 234;
$sqlquery="SELECT * FROM tabelle WHERE id=".$id; 


$id ist natürlich nur eine Zahl also keine ungeprüften Eingaben wie ' durch sql Injection
Hat die 1. Variante irgendwelche Nachteile gegenüber der 2.?

[Gelöschter Benutzer]

Nein hat sie nicht.

Sobald die Zahl (also $id) aber der Benutzer bestimmen kann würde ich sie escapen (mysql_real_escape_string()) und / oder vorher überprüfen ob das auch wirklich eine Zahl ist (is_numeric()).

[Diebspiel]

Die erste Möglichkeit sollte man vermeiden, oder {$name}, besser die Zweite nehmen.

Bei Zahlen grundsätzlich nie mysql_real_escape_string benutzen, wie es mein Vorposter geschrieben hat. Da benutzt man intval(), eine sehr schöne und sichere Funktion.

[Gnome]

oder man casted direkt auf int
$var = (int)$var;

Ausserdem sollten Strings in single quotes geschrieben werden... Es ist sauberer programmiert, da man eben '$var' nicht machen kann .... Ausserdem ist es schneller^^