PHP：filter_var安全性足够安全吗？

Question

我有以下行PHP脚本：

$query = "SELECT * FROM products WHERE product_id='" . filter_var($_GET[id], FILTER_SANITIZE_NUMBER_INT) . "'"; 

这是足够安全？你会如何改进这个代码？

Answer 1

正是出于这种情况下的安全，但更普遍的做法，我宁愿结合使用mysql_real_escape_string型铸造：

$query = "SELECT * FROM products WHERE product_id='" . (int)mysql_real_escape_string($_GET['id']) . "'"; 

在最坏的情况下，这将导致0和意志也逃脱所有恶意输入。 mysql_real_escape_string可用于各种数据，以确保查询的安全性，从而使其成为所有逃生/卫生功能中最通用的。

没有去尽可能使用准备好的语句，你可以用sprintf来创建你的SQL和自动处理的类型转换：

$query = sprintf("SELECT * FROM products WHERE product_id = '%d'", mysql_real_escape_string($_GET['id'])); 

请参阅从PHP手册sprintf条目的语法。

，如果你使用array_map逃避所有$_GET和$_POST变量变得更加简单，那么你可以将它们用作是：

$_GET = array_map('mysql_real_escape_string', $_GET); 
$_POST = array_map('mysql_real_escape_string', $_POST); 

$query = sprintf("SELECT * FROM products WHERE product_id = '%d'", $_GET['id']); 

Answer 2

我通常只使用intval：

$product_id = intval($_GET['id']); 
$query = "SELECT * FROM products WHERE product_id='" . $product_id . "'"; 

Answer 3

可能这对你有用......！

$query=query("SELECT * FROM products WHERE product_id= ". escape_string($_GET['id']) . " ");