Проверка на числовое значение (int) из GET запроса в БД MySQL

@Linked · Регистрация: 12.12.2010

Студворк — интернет-сервис помощи студентам

Вот пример кода:

PHP
1
$sel_db = mysqli_query($db, "SELECT * FROM users WHERE id = '$_GET[id]''");

Как указать что $_GET['id'] - может быть только числовым внутри запроса? Какие ещё могут быть уязвимости в моём запросе?

@Василий Макогон · 19.02.2013, 22:03

Первое и самое главное - надо использовать обертки для работы с СУБД.
Вот моя если интересно - http://www.phpinfo.su/articles... mysql.html
Вот аналогичная: http://phpfaq.ru/safemysql
Тогда бы все было очень просто:

PHP
1
$db->query('SELECT * FROM users WHERE id = ?i', $_GET['id']);

2. Тупо можно приводить к int:

PHP
1
2
$id = (int)$_GET['id'];
$sel_db = mysqli_query($db, "SELECT * FROM users WHERE id = '$id''");

но это говнокод.
+ BIGINT тип в mysql БОЛЬШЕ чем int в PHP. Следовательно, если у вас могут быть очень большие числовые $_GET['id'], то приведение к INT типу в php попросту "сократит" числовое значение типа BIGINT к максимально-возможному в PHP на 32 битной системе.

Вообще, проверка на int в PHP достигается только через регулярное выражение. Никакие другие расширения не спасут проверить переменную на десятичное число.

@Linked · 19.02.2013, 22:07 **[ТС]**

Василий Макогон, хмм, неплохо, спасибо.. Правда, я не понял, в первом варианте - что означает вопросительный знак перед i?
Можете пожалуйста привести ещё пару своих простых запросов в БД, которые не есть говнокод?

@Василий Макогон · 19.02.2013, 22:18

Это называется заполнитель - placeholders. Об этом написано в первой же ссылке! Почитай. Там же куча примеров!
Вот более подробное описание всего функционала класса - https://github.com/Vasiliy-Mak... /Mysql.php

Суть идеи такова - на место значений пишутся типизированные маркеры различных типов. Данные для этих маркеров передаются "позже". Есть несколько типов маркеров, но часто используемые:
?i - маркер числа (int)
?s - маркер строки

Теперь можно писать запрос без экранирования данных, обертка все сделает сама
- в зависимости от маркера либо к числу преобразует:

PHP
1
$result = $db->query('SELECT * FROM `test` WHERE `id` = ?i', '2+мусор');

на выходе получим

SQL
1
SELECT * FROM `test` WHERE `id` = 2

либо сделает экранирование служебных символов СУБД в строке:

PHP
1
$db->query('INSERT INTO `test` VALUES (?n, "?s", "?s", "?s")', null, 'Иван', '25', 'Москва, ул. Ленина, ЗАО "Рога и копыта"');

на выходе получим

SQL
1
INSERT INTO `test` VALUES (NULL, "Иван", "25", "Москва, ул. Ленина, ЗАО \"Рога и копыта\"")

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 * Типы заполнителей
*
* ?i - заполнитель числового типа.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу integer.
*
* ?s - заполнитель строкового типа, данные экранируются всегда.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу string.
*
* ?S - заполнитель строкового типа для подстановки в выражение LIKE поиска, данные экранируются всегда.
* В режиме MODE_TRANSFORM данные принудительно приводятся к типу string.
*
* ?n - заполнитель NULL типа.
* В режиме MODE_TRANSFORM любые данные игнорируются, заполнители заменяются на строку `NULL` в SQL запросе.
*
* ?A* - заполнитель ассоциативного множества из ассоциативного массива, генерирующий последовательность
* пар ключ => значение ("key_1" => "val_1", "key_2" => "val_2", ...)
* ?a* - заполнитель множества из простого (или также ассоциативного) массива, генерирующий последовательность
* значений ("val_1", "val_2", ...)
* где * после заполнителя - один из типов:
* - i (int)
* - s (string)
* правила преобразования и экранирования такие же, как и для одиночных скалярных типов (см. выше).
*
* ?A[?n, ?s, ?i] - заполнитель ассоциативного множества с явным указанием типа и количества аргументов,
* генерирующий последовательность пар ключ => значение ("key_1" => "val_1", "key_2" => "val_2", ...).
*
* ?a[?n, ?s, ?i] - заполнитель множества с явным указанием типа и количества аргументов, генерирующий последовательность
* значений ("val_1", "val_2", ...).

@alpex · 20.02.2013, 10:32

Сообщение от Василий Макогон

но это говнокод.

почему это говнокод?

Linked, учите расширение PDO для работы с бд, это уже встроенный в php класс для работы с бд

Dmitry · 20.02.2013, 10:44

Сообщение от Василий Макогон

$id = (int)$_GET['id'];

можно например так

PHP
1
$id =  preg_replace("/[^\d]/i","", $_GET['id']);

уберет из значения все кроме цифр

@Василий Макогон · 20.02.2013, 10:46

Сообщение от alpex

почему это говнокод?

потому, что писать

PHP
1
$id = (int)$_GET['id']

или

PHP
1
$str = mysql_real_escape_string($_GET['string']);

КАЖДЫЙ раз, в каждом скрипте, при каждом запросе - это говнокод. Давно уже придумали placeholders и обертки для работы с СУБД. Лет так 10 назад.

Сообщение от alpex

Linked, учите расширение PDO для работы с бд, это уже встроенный в php класс для работы с бд

PDO имеет массу недостатков для использования в чистом виде. Как и mysqli.
http://habrahabr.ru/post/148701/ - в этой статье очень хорошо все описано, человек хорошо понимает о чем пишет.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@Linked 21 / 21 / 6 Регистрация: 12.12.2010 Сообщений: 677
	19.02.2013, 22:07 [ТС]
	Василий Макогон, хмм, неплохо, спасибо.. Правда, я не понял, в первом варианте - что означает вопросительный знак перед i? Можете пожалуйста привести ещё пару своих простых запросов в БД, которые не есть говнокод? 0