Проверка на числовое значение (int) из GET запроса в БД MySQL

@Linked · Регистрация: 12.12.2010

Студворк — интернет-сервис помощи студентам

Вот пример кода:

PHP
1
$sel_db = mysqli_query($db, "SELECT * FROM users WHERE id = '$_GET[id]''");

Как указать что $_GET['id'] - может быть только числовым внутри запроса? Какие ещё могут быть уязвимости в моём запросе?

@Василий Макогон · 19.02.2013, 22:03

Первое и самое главное - надо использовать обертки для работы с СУБД.
Вот моя если интересно - http://www.phpinfo.su/articles... mysql.html
Вот аналогичная: http://phpfaq.ru/safemysql
Тогда бы все было очень просто:

PHP
1
$db->query('SELECT * FROM users WHERE id = ?i', $_GET['id']);

2. Тупо можно приводить к int:

PHP
1
2
$id = (int)$_GET['id'];
$sel_db = mysqli_query($db, "SELECT * FROM users WHERE id = '$id''");

но это говнокод.
+ BIGINT тип в mysql БОЛЬШЕ чем int в PHP. Следовательно, если у вас могут быть очень большие числовые $_GET['id'], то приведение к INT типу в php попросту "сократит" числовое значение типа BIGINT к максимально-возможному в PHP на 32 битной системе.

Вообще, проверка на int в PHP достигается только через регулярное выражение. Никакие другие расширения не спасут проверить переменную на десятичное число.

@Linked · 19.02.2013, 22:07 **[ТС]**

Василий Макогон, хмм, неплохо, спасибо.. Правда, я не понял, в первом варианте - что означает вопросительный знак перед i?
Можете пожалуйста привести ещё пару своих простых запросов в БД, которые не есть говнокод?

@Василий Макогон · 19.02.2013, 22:18

Это называется заполнитель - placeholders. Об этом написано в первой же ссылке! Почитай. Там же куча примеров!
Вот более подробное описание всего функционала класса - https://github.com/Vasiliy-Mak... /Mysql.php

Суть идеи такова - на место значений пишутся типизированные маркеры различных типов. Данные для этих маркеров передаются "позже". Есть несколько типов маркеров, но часто используемые:
?i - маркер числа (int)
?s - маркер строки

Теперь можно писать запрос без экранирования данных, обертка все сделает сама
- в зависимости от маркера либо к числу преобразует:

PHP
1
$result = $db->query('SELECT * FROM `test` WHERE `id` = ?i', '2+мусор');

на выходе получим

SQL
1
SELECT * FROM `test` WHERE `id` = 2

либо сделает экранирование служебных символов СУБД в строке:

PHP
1
$db->query('INSERT INTO `test` VALUES (?n, "?s", "?s", "?s")', null, 'Иван', '25', 'Москва, ул. Ленина, ЗАО "Рога и копыта"');

на выходе получим

SQL
1
INSERT INTO `test` VALUES (NULL, "Иван", "25", "Москва, ул. Ленина, ЗАО \"Рога и копыта\"")

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 * Типы заполнителей
*
* ?i - заполнитель числового типа.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу integer.
*
* ?s - заполнитель строкового типа, данные экранируются всегда.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу string.
*
* ?S - заполнитель строкового типа для подстановки в выражение LIKE поиска, данные экранируются всегда.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу string.
*
* ?n - заполнитель NULL типа.
* В режиме MODE_TRANSFORM любые данные игнорируются, заполнители заменяются на строку `NULL` в SQL запросе.
*
* ?A* - заполнитель ассоциативного множества из ассоциативного массива, генерирующий последовательность
* пар ключ => значение ("key_1" => "val_1", "key_2" => "val_2", ...)
* ?a* - заполнитель множества из простого (или также ассоциативного) массива, генерирующий последовательность
* значений ("val_1", "val_2", ...)
* где * после заполнителя - один из типов:
* - i (int)
* - s (string)
* правила преобразования и экранирования такие же, как и для одиночных скалярных типов (см. выше).
*
* ?A[?n, ?s, ?i] - заполнитель ассоциативного множества с явным указанием типа и количества аргументов,
* генерирующий последовательность пар ключ => значение ("key_1" => "val_1", "key_2" => "val_2", ...).
*
* ?a[?n, ?s, ?i] - заполнитель множества с явным указанием типа и количества аргументов, генерирующий последовательность
* значений ("val_1", "val_2", ...).

@alpex · 20.02.2013, 10:32

Сообщение от Василий Макогон

но это говнокод.

почему это говнокод?

Linked, учите расширение PDO для работы с бд, это уже встроенный в php класс для работы с бд

Dmitry · 20.02.2013, 10:44

Сообщение от Василий Макогон

$id = (int)$_GET['id'];

можно например так

PHP
1
$id =  preg_replace("/[^\d]/i","", $_GET['id']);

уберет из значения все кроме цифр

@Василий Макогон · 20.02.2013, 10:46

Сообщение от alpex

почему это говнокод?

потому, что писать

PHP
1
$id = (int)$_GET['id']

или

PHP
1
$str = mysql_real_escape_string($_GET['string']);

КАЖДЫЙ раз, в каждом скрипте, при каждом запросе - это говнокод. Давно уже придумали placeholders и обертки для работы с СУБД. Лет так 10 назад.

Сообщение от alpex

Linked, учите расширение PDO для работы с бд, это уже встроенный в php класс для работы с бд

PDO имеет массу недостатков для использования в чистом виде. Как и mysqli.
http://habrahabr.ru/post/148701/ - в этой статье очень хорошо все описано, человек хорошо понимает о чем пишет.

Новые блоги и статьи Все статьи Все блоги /
Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит токи на L и напряжения на C в установ. режимах до и. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

@Linked 21 / 21 / 6 Регистрация: 12.12.2010 Сообщений: 677
	19.02.2013, 22:07 [ТС]
	Василий Макогон, хмм, неплохо, спасибо.. Правда, я не понял, в первом варианте - что означает вопросительный знак перед i? Можете пожалуйста привести ещё пару своих простых запросов в БД, которые не есть говнокод? 0