poprawność kodu

Question

Witam, czy tan kod jest napisany poprawnie?

//polaczenie z db
	require_once("connect.php");
	//tworzenie zmiennych
	$imie = $_POST['imie'];
	$email = $_POST['email'];
	$tresc = $_POST['tresc'];
	//zabezpieczenie
	$conn -> real_escape_string($imie);
	$conn -> real_escape_string($email);
	$conn -> real_escape_string($tresc);
	//zapytanie
	$query = "INSERT INTO `kontakt` (imie, email, tresc) VALUES ('$imie', '$email', '$tresc')";

	if ($conn->query($query) === TRUE) {
		echo "Pytanie zostało wysłane!";
	} 
	else {echo "Błąd!" . $conn->error;}

	$conn->close();

 

Answer 1

Zależy co rozumiesz przez poprawnie. Jest czytelny, ale:

1. Nie masz pewności czy postem Ci cokolwiek przychodzi.

   if (!empty($_POST)) //nie zaszkodzi
   

2. Nie masz pewności czy indeksy tablicy post do której się dowołujesz istnieją.
   isset, array_key_exists
3. Zamiast mysqli polecam PDO
4. Walidacja:
   - zamiast real_escape_string użyj filter_input, filter_var
   - dodatkowo rzutuj na typ jakiego się spodziewasz
   - w PDO użyj bindParam
5. Key words lowercase, please.
6. Popraw klamry w ifie i będzie gicio.  

Answer 2

Dodam jeszcze od siebie abyś zapoznał się z PHP-FIG szczególnie PSR-1 i PSR-2 na początek.

http://www.php-fig.org/psr/#accepted