Форум PHP

>... Но согласитесь, лучше уж, хоть какая-та защита, чем вообще никакой. ;)

А я не соглашусь с самим принципом.
Защита дарит надежду.
А негодная защита имеет следствием атаку тогда и там, где её совсем не ждешь.

Теперь вот сижу ищу инфу по preg_match... чтобы более подробней с ней разобраться....

Вообще говоря, нужно поставить ! перед preg_match() теперь

/^[0-9]+$/
?id=111d если ввести такое значение, то preg_match думает, что это все цифры :D
именно при таком значении id, а остальные работают норм.

Спасибо! Пригодится!

Блин, вот что значит пишут в статьях по безопастности кода!

/^[0-9]+$/ или /^\d+$/

опа... прошу поправьте меня насчет preg_match. Как необходимо правильно проверить?
Сорри за оффтоп...

> Но согласитесь
Не соглашусь. Ваш код неверен и условие !is_int($_GET['id']) будет выполняться всегда. Для проверки того, что $_GET['id'] - набор цифр существует, например, ctype_digit().

> "/[0-9]/i"
Вы проверяете наличие хотя бы одной цифры.

>Ну можно и вот так (это для автора):
А не проще воспользоваться intval().

P.S. Да кстати, в вашем РВ зачем модификатор i ? :)

насчет комментария , перепутал извеняюсь /*

>> if (!is_int($_GET['id']) {
>Нельзя так проверять, так как $_GET['id'] никогда просто так не будет integer. Это может быть NULL, string или array.

BinLaden, Но согласитесь, лучше уж, хоть какая-та защита, чем вообще никакой. ;)

Ну можно и вот так (это для автора):

if (!preg_match("/[0-9]/i",$_GET['id']))  {     echo "ID параметр указан неверно!";     exit(); }

> "SELECT * FROM `article` WHERE `id_art` = 10//"
> и тут уже будет коментарий!

Однострочные комментарии в SQL -- "--"

> if (!is_int($_GET['id']) {
Нельзя так проверять, так как $_GET['id'] никогда просто так не будет integer. Это может быть NULL, string или array.