♛ FORTRESS-DESIGN

Защита от SQL-инъекции

Прежде, чем выполнять запрос

$res = mysql_query("SELECT * FROM news WHERE id = '.$_GET['id'].'");

нужно сначала проверить значение переменной id. В данном случае переменная id имеет числовой тип и должна принимать только целочисленное значение. В таком случае помогает функция intval, которая  преобразует переменную к целому типу.

$_GET['id']   = intval($_GET['id']);

Таким образом мы исключаем возможность внедрения SQL-запроса.