is_numeric() 是否意味着 var 对于 MySQL 来说是安全的?

发布于 2024-10-06 18:47:58 字数 283 浏览 5 评论 0原文

希望问题说明了一切,如果我检查一个变量对于 is_numeric() 返回 true,是否可以直接放入 MySQL 查询中,或者我是否需要应用标准转义?我在想空字符、溢出漏洞之类的东西。

一个不明确的例子是:

if(is_numeric($_GET['user_id'])) {
    mysql_query("SELECT * FROM `users` WHERE id = ".$_GET['user_id']);
}

MySQL 中的数据类型是 INT()。

Question says it all hopefully, if I check a variable returns true for is_numeric(), is it ok to put directly into the MySQL query, or do I need to apply standard escaping? I'm thinking null character, overflow exploits and stuff.

An ambiguous example would be:

if(is_numeric($_GET['user_id'])) {
    mysql_query("SELECT * FROM `users` WHERE id = ".$_GET['user_id']);
}

The datatype in MySQL is INT().

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

手心的海 2024-10-13 18:47:58

我认为最安全的方法是将 user_id 转换为整数,如果无效则返回 0。

$user_id = (int) $_GET['user_id'];

if ($user_id > 0) {
    mysql_query("SELECT * FROM `users` WHERE `id` = " . $user_id);
}

The safest way in my opinion is to convert the user_id to an integer, if it's invalid it will return 0.

$user_id = (int) $_GET['user_id'];

if ($user_id > 0) {
    mysql_query("SELECT * FROM `users` WHERE `id` = " . $user_id);
}
随遇而安 2024-10-13 18:47:58

考虑到“10e3”is_numeric,不。

如果您想要数字(例如仅数字),则必须检查ctype_digit (对于 0123 这样的数字,这仍然会破坏 SQL)或将数字转换为 int浮动。如果数字可以是所有数字以外的数字,则需要应用 SQL 安全转义和引用。

Considering that "10e3" is_numeric, no.

If you want numbers (as in, only digits), you'll have to check for ctype_digit (which would still break SQL for numbers like 0123) or cast the number to an int or float. If it's acceptable for the number to be something other than all digits, you'll need to apply the SQL safe escaping and quoting.

放血 2024-10-13 18:47:58

来自 http://php.net/manual/en/function.is-numeric。 php:

使用 is_numeric() 转义 SQL 字符串时要小心。 is_numeric('0123') 返回 true,但不带引号的 0123 无法插入 SQL 中。 PHP 将不带引号的 0123 解释为文字八进制数;但 SQL 只是抛出语法错误。

From http://php.net/manual/en/function.is-numeric.php:

Be careful when using is_numeric() to escape SQL strings. is_numeric('0123') returns true but 0123 without quotes cannot be inserted into SQL. PHP interprets 0123 without quotes as a literal octal number; but SQL just throws a syntax error.

舞袖。长 2024-10-13 18:47:58

因为程序必须为不存在的 id 的变体做好准备,所以这一行应该足够了:

mysql_query(sprintf("SELECT * FROM `users` WHERE `id` = %d LIMIT 1",$_GET['user_id'])); 

无论我们在 sprintf 中传递的不是十进制数字,都将被转换到十进制。零(〜错误输入)具有与不存在 id 相同的状态。

保存条件并声明额外变量。

Because the programm must be ready for variant for no-existing id this single row should be enough:

mysql_query(sprintf("SELECT * FROM `users` WHERE `id` = %d LIMIT 1",$_GET['user_id'])); 

Whatever what will not be a decimal number we pass inside the sprintf will be turned to decimal. The zero (~ bad input) has the same state as no existing id.

Saving condition and declaring extra variable.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文