這是一個安全的做法在PHP？

Question

我想使一個在線計算器，人們可以使用我的網站中的表格進行計算，人們可以在表單中進行POST，結果是通過url字符串進行GET。它安全嗎？

HTML

<form id="form1"> 
      <input type="text" name="user_price" size=2/> 
      <?php echo form_dropdown('selling', $rates);?> 
      <input type="submit" value="submit"> 
      </form> 

PHP

 <?php 
     if((int)$_GET['user_price']){ 
     echo 'Total '. $_GET['user_price'] * $_GET['selling']; 
     }else if((string)$_GET['user_price'] OR (array)$_GET['user_price']){ 
      echo 'enter number not characters'; 
     }else{ 
      echo ''; 
     } 
     ?> 

Answer 1

是的，這是完全安全的，它只是沒有意義。 (int)$_GET['user_price']強制轉換爲一個整數的值，它確實是而不是的意思是「如果值是整數」。

您正在尋找：

if (isset($_GET['user_price'], $_GET['selling']) && 
    is_numeric($_GET['user_price']) && is_numeric($_GET['selling'])) { 
    ... 
} else { 
    echo 'Please enter numbers'; 
} 

Answer 2

你可以使它更簡潔

if (is_numeric($_GET['user_price']) && is_numeric($_GET['selling'])) { 
    echo 'Total '. $_GET['user_price'] * $_GET['selling']; 
} else { 
    echo 'Something went wrong'; 
} 

Answer 3

這裏是我會怎樣代碼...

$userPrice = isset($_GET['user_price']) ? $_GET['user_price']) : NULL; 
$selling = isset($_GET['selling']) ? $_GET['selling'] : NULL; 

if (is_numeric($userPrice) AND is_numeric($selling)) { 
    echo 'Total '. $userPrice * $selling; 
} else { 
    echo 'enter number not characters'; 
} 

請注意，如果回顯用戶提交的字符串，請使用htmlspecialchars()來包裝它們。

Answer 4

萬無一失，但使用GET和POST當你與表單數據進行任何之前你應該總是聲明一個變量