PHP 安全性 - (int) 与 FILTER_VALIDATE_INT

发布于 2024-10-14 10:05:41 字数 428 浏览 1 评论 0原文

最近有人告诉我有 FILTER_VALIDATE_INT ，顺便说一下，它很棒。

我的问题是从网站获取整数值，无论它是来自用户还是从 Web 应用程序生成，并通过查询字符串传递。

该值（整数）可以在mysql查询中显示或使用。

我正在尝试为此构建最佳的安全方法。

考虑到这一点，简单地使用是否安全？

$myNum = (int)$_GET['num'];

或者

if (filter_var($_GET['num'], FILTER_VALIDATE_INT)) $myNum = $_GET['num'];

，请解释使用 (int) 和 FILTER_VALIDATE_INT 之间的区别

原文

I recently was told there is FILTER_VALIDATE_INT which is great by the way.

My question is in terms of taking an integer value from the website whether it maybe from user or generated from the web application, and passed via query string.

The value (integer) may be displayed or used in mysql query.

I am trying to structure the best possible security method for this.

With that in mind, is it safe to simply use

$myNum = (int)$_GET['num'];

if (filter_var($_GET['num'], FILTER_VALIDATE_INT)) $myNum = $_GET['num'];

Also, please explain what is the difference between using (int) and FILTER_VALIDATE_INT

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

梦初启 2024-10-21 10:05:41

不同之处在于，转换为 int 总是会得到一个 int，它可能是也可能不是原始值。例如 (int)'foobar' 结果为 int 0。这使得它对于大多数 SQL 目的来说是安全的，但与原始值无关，你甚至不会知道它。

filter_var 与 FILTER_VALIDATE_INT< /code> 告诉您该值是否为int，基于此您可以决定在 SQL 查询中使用它还是向用户显示错误消息。

回复收藏 0 原文

灵芸 2024-10-21 10:05:41

 <input type="text" name="param"></input>


$price = filter_input(INPUT_POST, 'param', FILTER_VALIDATE_INT);
if ($price !== false) {
print " a number.";    //works when value is number
}


if(is_int($_POST['param'])){
    print "is number."; //don't works when value is number
}

当值为 number 时，请尝试测试。

 <input type="text" name="param"></input>


$price = filter_input(INPUT_POST, 'param', FILTER_VALIDATE_INT);
if ($price !== false) {
print " a number.";    //works when value is number
}


if(is_int($_POST['param'])){
    print "is number."; //don't works when value is number
}

Please try test with when value is number .

回复收藏 0 原文

~没有更多了~