PHP：filter_var安全性足夠安全嗎？

Question

我有以下行PHP腳本：

$query = "SELECT * FROM products WHERE product_id='" . filter_var($_GET[id], FILTER_SANITIZE_NUMBER_INT) . "'"; 

這是足夠安全？你會如何改進這個代碼？

Answer 1

正是出於這種情況下的安全，但更普遍的做法，我寧願結合使用mysql_real_escape_string型鑄造：

$query = "SELECT * FROM products WHERE product_id='" . (int)mysql_real_escape_string($_GET['id']) . "'"; 

在最壞的情況下，這將導致0和意志也逃脫所有惡意輸入。 mysql_real_escape_string可用於各種數據，以確保查詢的安全性，從而使其成爲所有逃生/衛生功能中最通用的。

沒有去儘可能使用準備好的語句，你可以用sprintf來創建你的SQL和自動處理的類型轉換：

$query = sprintf("SELECT * FROM products WHERE product_id = '%d'", mysql_real_escape_string($_GET['id'])); 

請參閱從PHP手冊sprintf條目的語法。

，如果你使用array_map逃避所有$_GET和$_POST變量變得更加簡單，那麼你可以將它們用作是：

$_GET = array_map('mysql_real_escape_string', $_GET); 
$_POST = array_map('mysql_real_escape_string', $_POST); 

$query = sprintf("SELECT * FROM products WHERE product_id = '%d'", $_GET['id']); 

Answer 2

我通常只使用intval：

$product_id = intval($_GET['id']); 
$query = "SELECT * FROM products WHERE product_id='" . $product_id . "'"; 

Answer 3

可能這對你有用......！

$query=query("SELECT * FROM products WHERE product_id= ". escape_string($_GET['id']) . " ");