那些遇到过的问题

消毒整数数据库输入

Dan*_* D. 7 php mysql

我有一个通过POST请求获取数据的应用程序.我正在使用此数据将新行插入数据库.我知道使用mysql_real_escape_string()(加上删除%和_)是获取字符串的方法,但整数值呢?现在,我正在使用PHP函数intval().

但是,我想确保这intval()是非常安全的.当变量intval()首先运行时,我看不到攻击者预先形成SQL注入攻击的方式(因为它总是返回一个整数),但是我想确保那些比我有更多经验的人就是这种情况.

谢谢.

Eti*_*mps 21

是的,intval()是安全的.当参数转换为整数时,绝对没有办法执行SQL注入,因为(显然)整数的格式不允许在其中放置SQL关键字(或引号或其他).

  • 你也可以使用`(int)$ id`因为强制转换要比使用`intval($ id)`函数快得多.检查:http://hakre.wordpress.com/2010/05/13/php-casting-vs-intval/ (4认同)

归档时间:

查看次数:

5830 次

最近记录:

15 年,8 月 前
相关归档
在MySQL中查看存储过程/函数定义 69
为什么PHP将上传的文件存储在临时位置,有什么好处? 65
如何在Symfony 2中缓存? 42
PhPmyadmin MySQL错误#1018 Xampp 29
CodeIgniter - 为什么要使用xss_clean 26
MySQL是否允许使用点创建数据库? 25
MySQL"LOAD DATA INFILE"和Missing Double Quotes 24
如何在PHP 15天/ 1个月后获得日期? 23
扩展蓝图类? 18
为什么我的数组以空值开头? 12
难疑归档
如何水平居中<div>? 4116
为什么"使用命名空间std"被认为是不好的做法? 2486
什么是NullReferenceException,我该如何解决? 1876
方法和函数之间有什么区别? 1665
在Mac上查找(并终止)进程锁定端口3000 1595
在上传图像之前预览图像 1476
在Android上旋转活动重启 1341
在Node.js中读取环境变量 1240
在对象名称之前单个和双下划线的含义是什么? 1205
Access-Control-Allow-Origin标头如何工作? 1050