Защита от SQL-инъекции

Опубликовано: 19.05.2010Рубрика: SEO

Прежде, чем выполнять запрос

$res = mysql_query("SELECT * FROM news WHERE id = '.$_GET['id'].'");

нужно сначала проверить значение переменной id. В данном случае переменная id имеет числовой тип и должна принимать только целочисленное значение. В таком случае помогает функция intval, которая преобразует переменную к целому типу.

$_GET['id']   = intval($_GET['id']);

Таким образом мы исключаем возможность внедрения SQL-запроса.

5 1 974

Комментарии: 5

Сергей 11.02.2011 в 17:49
Я раньше так от SQL injection атак защищался
//%s - строка
//%d - целое число
```
$q = "SELECT * FROM `users` WHERE `login`='%s' AND `id`='%d'";
$query = sprintf($q, mysql_reql_escape_string($login), $id);
$res  = mysql_query($query);
```
Сейчас использую PDO и подготовленные выражения.
Ответить
1. FORTRESS-DESIGN (автор) 11.02.2011 в 18:05
  Из-за повышенной безопасности выполнения SQL-инъекций?
  Ответить
Сергей 11.02.2011 в 18:40
Вы про PDO?
PDO не только повышенная безопасность, но и быстродействие, а так же можно при необходимости перейти от MySQL к другой СУБД, например: PostgreSQL, SQLite.
Ответить
1. FORTRESS-DESIGN (автор) 11.02.2011 в 18:43
  Да, о PDO. Часто ли вам приходилось использовать другие базы данных?
  Ответить
ulot3049 27.03.2012 в 19:23
Здравствуйте, больше информации по этой теме можно найти тут: http://lifeexample.ru/php-primeryi-skriptov/zashhita-ot-sql-inektsiy.html
P.S. Очень маленькая у вас статья (( Мало полезной инфы.
Ответить

Добавить комментарий