Форум PHP

вам не нужно
а взломщику всеравно что у вас int или char
вроде)

Зачем мне в запросе строка, когда поле типа integer?

Просто возьмите за правило никогда не подсовывать в запрос то, что пришло с инета. пропустите через какую то промежуточную функццию, и все лишние хвосты отвалятся или вызовут ошибку.

а какая разница что будет добавленно в where id
текст или цифра - это всеравно строковое значение...
или нет?
в любом случае там нужна будет кавычка для обрыва запроса и подстановки union...
или?

а что вы думаете на счет функции ctype_digit()
можно ли на нее положиться?

<?  if(ctype_digit($_GET['id']))   echo 'ГУД!!!';  else   echo 'Не есть гуд!'; ?>

а мне вот нравится работать с stmt в mysqli

$stmt = $mysqli->stmt_init(); $stmt->bind_param('ssi',$string_var_1, $string_var_2, $integer); $stmt->execute();

зачем на уровне PHP делать то, что можно переложить на БД, притом что она это умеет делать лучше?

Я и числа в кавычки беру, все пашет у меня везде

Аааа, всё понял! Спасибо за разъяснение :)

Когда ожидается прием числовых данных, то:

$id = (int)$_GET['id'];

и уязвимости нет.

Ну, если переданные запросу данные - строковые, то с этим понятно!
А если Числовые данные? Их же не надо выделять кавычками. Получается, что можно сделать скл-инъекцию даже с mysql_escape_string()?
К примеру:

<?php mysql_query("SELECT * FROM table WHERE id = $id"); // если в $id вписать, к примеру, // 1; UPDATE table SET id = 666 WHERE id = 1 // то можно изменить любые числовые данные в БД ?>

Разъясните, пожалуйста!