|
| |
|
|
| |
для: Zend72
(04.06.2008 в 12:45)
| | | Чего-чего нужно с переменными делать? :)
to а-я: для предотвращения инъекции через эту переменную и этот запрос Ваших действий вполне достаточно.
Фактически, можно было бы обойтись чем-то вроде $sql = 'SELECT ... `id`='.intval($_REQUEST['id']); | |
| |
|
|
| |
|
|
| |
для: а-я
(03.06.2008 в 20:27)
| | | В любом случае нужно фильтровать переменные! | |
| |
|
|
| |
|
|
| |
для: Волки
(04.06.2008 в 09:22)
| | | Это при условии что $id вообще существует | |
| |
|
|
| |
|
|
| |
для: а-я
(03.06.2008 в 20:27)
| | |
$sql = 'SELECT ... `id`='.intval($id).' .... ';
|
| |
| |
|
|
| |
|
|
| |
для: а-я
(03.06.2008 в 20:27)
| | | можно так проверить:
<?php
if(!preg_match("/^[\d]+$/",$id))
false;
else
true;
?>
|
| |
| |
|
|
| |
|
|
| | Опасны ли числа???
например такой код:
<?
$id = empty($_REQUEST['id']) || !ctype_digit($_REQUEST['id']) ? 0 : (int) $_REQUEST['id'];
$sql = 'SELECT ... `id`='.$id.' .... ';
$res = mysql_query($sql);
echo $id;
?>
|
есть ли опасные моменты? | |
| |
|
|
|
