Фильтр данных от SQL-инъекции

GoodLuck777 · 6 Дек 2010

В общем меня почему-то мучает один момет, я фильтрую все свои числовые переменные которые получаю "извне" с помощью умножения на единицу (точно знаю что должна быть цифра), например:

PHP:

$news_id = $_GET['id']*1;

. Скажите, это нормально таким образом защищаться от неприятностей с базой данных или это как-то обходится?

1. да, я знаю что остаются только цифры, мне это и нужно
2. только целые числа от 1

Кто-нибудь еще так делает или нужно регуляркой проверять на кавычки и т.п.?

Semen · 6 Дек 2010

PHP:

if( isset($_GET['id']) && 0 < $_GET['id'] )

Духовность™ · 6 Дек 2010

То, что ты делаешь - это фактически санитарная обработка, а не валидация в классическом понимании. Я не сторонник такого подхода. Я предпочитаю проверить "на число". Если это не число - до свидания - никаких запросов к базе.
Чисто вопрос принципа.

Рамазан · 6 Дек 2010

я думаю так будет лучше:

PHP:

$news_id = isset($_GET['id']) ? (int)$_GET['id'] : null;

а вообще лучше так:

PHP:

$news_id = isset($_GET['id']) ? $_GET['id'] : null;

if($news_id !== null and preg_match('/^\d+$/', $news_id)
{
    делаем дела.
}
else
{
    выводим сообщение о неверном запросе
}

GoodLuck777 · 6 Дек 2010

А если проверять через

PHP:

is_numeric($_GET['id'])

?

Духовность™ · 6 Дек 2010

почитайте эту тему http://phpclub.ru/talk/threads/числовые-типы-данных-php-и-mysql.65073/#post-575393

Mr_Max · 6 Дек 2010

А я сторонник принудительной кастрации.
Ибо зачем проверять то, что заведомо должно быть числом.

HraKK · 6 Дек 2010

я тупо делаю (int) не проверяя. Если решил смухлевать и получил что-то не то, то твои половые проблемы, а вводить регулярку для такой проверки - много чести будет для хакеров.

zerkms · 6 Дек 2010

"а вообще лучше так:"
бред, так не лучше. Mr_Max и HraKK всё правильно сказали

c0dex · 6 Дек 2010

Делаю (int) $var, а дальше не волнует.

Духовность™ · 6 Дек 2010

Делаю (int) $var

вы тему по ссылки читали? на 32 битных системах int() урезает число до PHP_INT_MAX. Использовать подобный подход на 32 системе - это завтрашний баг.

HraKK · 6 Дек 2010

вы тему по ссылки читали? на 32 битных системах int() урезает число до PHP_INT_MAX. Использовать подобный подход на 32 системе - это завтрашний баг.

О, да. 32 битные системы это уже баг. Передавать числа выше 32 уже баг)

Духовность™ · 6 Дек 2010

если у ваших домашних страничек числа не превышают PHP_INT_MAX, то это значит, что вы делаете правильно )

HraKK · 6 Дек 2010

а в других случаях мы (int) и не используем)

zerkms · 6 Дек 2010

омг, нука поднимите руки, у кого автоинкремент перевалил за инт?

craz · 6 Дек 2010

у триума)

fixxxer · 6 Дек 2010

Проблема с 32 битными системами в самом ближайшем будущем решится их отсутствием

у меня собственно уже.

c0dex · 6 Дек 2010

Духовность™
Если у тебя проблемы, это не значит что у всех они есть, или появятся. Да и простите, чтобы где-то превысить лимит в 2.147.483.647 это простите фак-блин-тастика...

shureen · 6 Дек 2010

а я $number = intval($number); делаю

HraKK · 6 Дек 2010

shureen, долго думал что бы написать?

Фильтр данных от SQL-инъекции

Новичок

Семён

Духовность™

Guest

Новичок

Новичок

Духовность™

Guest

Первый класс. Зимние каникулы ^_^

Мудак

TDD infected

web.dev 2002-...

Духовность™

Guest

Мудак

Духовность™

Guest

Мудак

TDD infected

Нестандартное звание

К.О.

web.dev 2002-...

Милорд Лось Кристофер

Мудак