проверка поля id

[mobilnikua]

проверка поля id

Добрый день всем! Вчера была попытка положить базу через один скрипт, к счастью сервер выдержал, хотя и был загружен на 98%.

Дело вот в чем:

SELECT * FROM news WHERE id = '2801' AND 1=BENCHMARK(100000000,BENCHMARK(100000000,BENCHMARK(1

т.е. в переменную id еще всякого напихали.....

Помогите пожалуйста рещить эту проблемму:

как поле id проверить? Это (поле id) должно быть только целое число!

Заранее очень благодарен!

 

[Tor]

(int) $id

а вообще читай

\"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.

 

[mobilnikua]

спасибо! проблемму решил

 

[Фанат]

хм. так быстро?

 

[mobilnikua]

Да, оказалось достаточным чуть поменять запрос:

SELECT * from news WHERE id=\"$id\"

и поставить маленькую проверку:

if((string)$id<>(string)(int)$id) {
		echo "<script>location.href='news.php'</script>";

 

[Tor]

что ты пытался сделать этой ужасной проверкой?

 

[mobilnikua]

проверить чтобы там '' не проскачили...

 

[lyxsus]

http://ru.php.net/manual/ru/security.database.sql-injection.php

http://ru.php.net/manual/en/function.mysql-escape-string.php
http://ru.php.net/manual/en/function.mysql-real-escape-string.php

 

[Фанат]

lyxsus
на самом деле, для id достаточно кода, который дал Tor.