Vệ sinh đầu vào cơ sở dữ liệu số nguyên

Question

Tôi có một ứng dụng nhận dữ liệu qua yêu cầu POST. Tôi đang sử dụng dữ liệu này để chèn một hàng mới vào cơ sở dữ liệu. Tôi biết rằng bằng cách sử dụng mysql_real_escape_string() (cộng với loại bỏ% và _) là cách để đi cho chuỗi, nhưng những gì về giá trị số nguyên? Ngay bây giờ, tôi đang sử dụng hàm PHP intval() trên chúng.

Tuy nhiên, tôi muốn đảm bảo rằng intval() hoàn toàn an toàn. Tôi không thể nhìn thấy một cách của kẻ tấn công tạo ra một cuộc tấn công SQL injection khi các biến được chạy qua intval() đầu tiên (vì nó luôn trả về một số nguyên), nhưng tôi muốn đảm bảo đây là trường hợp từ những người có nhiều kinh nghiệm hơn tôi .

Cảm ơn.

Answer 1

Có, intval() là an toàn. Có hoàn toàn không có cách nào để thực hiện một SQL injection khi tham số được chuyển đổi sang số nguyên, bởi vì (rõ ràng) định dạng của một số nguyên không cho phép đặt các từ khóa SQL (hoặc dấu ngoặc kép, hoặc bất cứ điều gì) trong đó.

Answer 2

Cách dễ nhất để ngăn chặn việc tiêm SQL là luôn sử dụng các số liệu đã chuẩn bị. Sử dụng các thư viện mysqli hoặc tốt hơn là một ORM như học thuyết, vv

truy vấn của bạn sau đó trở thành một cái gì đó như:

$stmt = $db->prep_stmt("select * from .... where userid = ? and username = ?"); 

/* Binding 2 parameters. */ 
$stmt->bind_param("is", $userid, $username); 

$userid = 15; 
$username = "don"; 

/* Executing the statement */ 
$stmt->execute() or die ("Could not execute statement"); 

Answer 3

tôi luôn luôn làm

$var = (int)$_POST['var']; 

để đảm bảo $ var được xử lý như một số nguyên trong mọi trường hợp và không bao giờ xem lại $ _POST ['var']. Nhìn vào hướng dẫn sử dụng, intval() thực hiện giống hệt nhau.

Bất kỳ cách nào bạn đi, trong chuỗi $ var sẽ là một số nguyên thực, khá an toàn để xử lý.

Answer 4

Statared được chuẩn bị là cách tốt nhất để xử lý việc chèn sql. hoặc sử dụng PDO nếu không, intval tốt hơn is_numeric